Дата публикации:Sat, 20 Jul 2024 12:37:48 +0300
Доступен релиз HTTP-сервера Apache 2.4.62, в котором устранены две уязвимости и внесено 6 изменений. Первая уязвимость (CVE-2024-40898) позволяет совершить атаку SSRF (Server-side request forgery) на mod_rewrite. Проблема проявляется только на платформе Windows и при отправке специально оформленных запросов может привести к утечке NTLM-хэшей на сервер, подконтрольный атакующим.
Вторая уязвимость (CVE-2024-40725) позволяет посмотреть код скриптов, обработка которых настроена при помощи директивы AddType. Например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения. Исправление блокирует дополнительный вариант эксплуатации уязвимости CVE-2024-39884, устранённой версии 2.4.61.
Из не связанных с безопасностью изменений выделяется добавление в
mod_ssl возможности загрузки сертификатов и ключей из хранилищ, поддерживающих стандарт pkcs11.
В соответствии с июньским отчётом компании Netcraft под управлением http-сервера Apache работает около 212 млн сайтов (год назад 228 млн). Доля Apache httpd оценивается в 19.28% от всех сайтов, что соответствует второму месту по популярности в данной категории (доля Nginx - 21.35%, Cloudflare - 11.05%, OpenResty (платформа на базе nginx и LuaJIT) - 0.79%).
При рассмотрении только активных сайтов Apache занимает первое место в рейтинге с долей 19.13% (доля Nginx -
18.09%, Cloudflare - 14.80%, Google - 10.01%). Среди миллиона самых посещаемых сайтов в мире Apache находится на третьем месте с долей 19.69% (лидируют Cloudflare - 23.10% и Nginx - 20.50%).
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=61585