[TLP:CLEAR] Apache HTTP Server opravuje 2 zraniteľnosti
Apache verziou 2.4.62 opravuje 2 zraniteľnosti v produkte Apache HTTP Server [1].
Útočníkovi je umožnené neoprávnene zobrazovať NTLM hashe pomocou SSRF útoku. Zraniteľnosť sa týka iba Windows inštancií s povoleným mod_rewrite modulom v kontexte server/vhost [1].
Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách >=2.4.0 AND <2.4.62
Viac informácií:
- CVE-2024-40898 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 7. 2024.
Útočníkovi je umožnené neoprávnene zobrazovať zdrojové kódy určitých skriptov. Táto zraniteľnosť bola už nedostatočne opravovaná vo verziách 2.4.60 a 2.4.61 [1].
Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách >=2.4.60 AND <2.4.62
Viac informácií:
- CVE-2024-40725 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-668: Exposure of Resource to Wrong Sphere at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 7. 2024.
Publikoval Martin Krajči dňa 23. 7. 2024.
