Apache 修复 Apache HTTP Server 中的源代码泄露漏洞
2024-7-8 17:7:4 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

作者:Pierluigi Paganini

编译:代码卫士

Apache 软件基金会修复了Apache HTTP Server 中的多个漏洞,其中包括拒绝服务 (DoS)、远程代码执行和越权访问等问题。

其中一个漏洞是严重的源代码披露漏洞,编号为CVE-2024-39884。安全公告提到,“Apache HTTP Server 2.4.60内核中的回归忽视了句柄的基于遗留内容类型配置的某些使用。’AddType’和类似配置在一定的情况下即间接请求文件时,可导致本地内容的源代码遭泄露。例如,PHP脚本会被提供而非被翻译。”

CVE-2024-39884由处理遗留内容类型配置的回归导致。在一定条件下,当 “AddType” 指令和类似设置被使用时,可无意间暴露将被处理的文件(如服务器端脚本和配置文件)的源代码,从而导致敏感数据被暴露给攻击者。

Apache 软件基金会建议用户升级至版本2.4.61。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

Apache 项目中存在依赖混淆漏洞

Apache Superset 漏洞导致服务器易遭RCE攻击

Apache Ivy 注入漏洞可导致攻击者提取敏感数据

Apache Superset 会话验证漏洞可导致攻击者访问未授权资源

原文链接

https://securityaffairs.com/165422/security/apache-source-code-disclosure-flaw-apache-http-server.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520009&idx=1&sn=b958a0460ffa3e890f8c189660f04487&chksm=ea94be63dde337752a7dace28761adae32e92abbff78ddbb4dba723691c1d4eb489dd3e5deb2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh