Apache HTTP Server opravuje 8 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Ne

Používáte tuto technologii? *

Ano

Ne

Byl pro Vás tento report užitečný?

Ano

Ne

Budeme rádi, pokud se rozepíšete:

[TLP:CLEAR] Apache HTTP Server opravuje 8 zraniteľností

Apache verziou 2.4.60 opravuje 8 zraniteľností v produkte Apache HTTP Server [1]. Najzávažnejšie zraniteľnosti sú popísané nižšie.

Apache HTTP Server - DoS (CVE-2024-38477)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok zaslaním špeciálne vytvorenej požiadavky [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59

Viac informácií:

CVE-2024-38477 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-476: NULL Pointer Dereference at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Apache HTTP Server - RCE (CVE-2024-38476)

Autentizovanému lokálnemu útočníkovi je umožnené neoprávnene pristupovať k informáciám alebo spúšťať lokálne skripty, zasielaním požiadaviek so špeciálne vytvorenými hlavičkami [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59

Viac informácií:

CVE-2024-38476 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-829: Inclusion of Functionality from Untrusted Control Sphere at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Apache HTTP Server - RCE (CVE-2024-38475)

Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k súborom, ktoré nemajú byť priamo dostupné, čo môže spôsobiť spúšťanie kódu alebo neoprávnený prístup k zdrojovým kódom [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59

Viac informácií:

CVE-2024-38475 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-116: Improper Encoding or Escaping of Output at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Apache HTTP Server - RCE (CVE-2024-38474)

Neautentizovanému vzdialenému útočníkovi je umožnené spúšťať, prípadne si zobrazovať zdrojový kód skriptov, ktoré by nemali byť priamo dostupné [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59

Viac informácií:

CVE-2024-38474 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-116: Improper Encoding or Escaping of Output at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Apache HTTP Server - SSRF (CVE-2024-38472)

Neautentizovanému vzdialenému útočníkovi je umožnené vo Windows verzii Apache HTTP Server spôsobiť SSRF útok a tým získať neoprávnený prístup k NTML hashom [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59

Viac informácií:

CVE-2024-38472 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Odkazy

[1] https://httpd.apache.org/security/vulnerabilities_24.html#2.4.60

Publikoval Martin Krajči dňa 3. 7. 2024.