聚焦源代码安全,网罗国内外最新资讯!
作者:Pierluigi Paganini
编译:代码卫士
其中一个漏洞是严重的源代码披露漏洞,编号为CVE-2024-39884。安全公告提到,“Apache HTTP Server 2.4.60内核中的回归忽视了句柄的基于遗留内容类型配置的某些使用。’AddType’和类似配置在一定的情况下即间接请求文件时,可导致本地内容的源代码遭泄露。例如,PHP脚本会被提供而非被翻译。”
CVE-2024-39884由处理遗留内容类型配置的回归导致。在一定条件下,当 “AddType” 指令和类似设置被使用时,可无意间暴露将被处理的文件(如服务器端脚本和配置文件)的源代码,从而导致敏感数据被暴露给攻击者。
Apache 软件基金会建议用户升级至版本2.4.61。
【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告
https://securityaffairs.com/165422/security/apache-source-code-disclosure-flaw-apache-http-server.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~