[TLP:CLEAR] Apache HTTP server 2.4.59 opravuje 3 zraniteľnosti
Dňa 04.04.2024 vyšiel Apache HTTP server vo verzii 2.4.59, ktorá opravuje dve stredne závažné a jednu menej závažnú zraniteľnosť [1].
Neautentizovaný vzdialený útočník môže sústavným tokom HTTP/2 hlavičiek spôsobiť neohraničený rast vyrovnávacej pamäte, čo vedie na vyčerpanie prostriedkov a odopretie služby [2].
Zraniteľnosť sa nachádza v produktoch:
- apache httpd vo verziách >=2.4.17 AND <=2.4.58
- apache http_server vo verziách >=2.4.17 AND <=2.4.58
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-27316 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 4. 4. 2024.
Napadnuteľná či zlomyseľná backend aplikácia môže kvôli nedostatočnej kontrole vstupu spôsobiť rozdelenie HTTP odpovede [3].
Zraniteľnosť sa nachádza v produktoch:
- apache httpd vo verziách <=2.4.58
- apache http_server vo verziách <=2.4.58
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
Viac informácií:
- CVE-2023-38709 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 4. 4. 2024.
Autentizovaný vzdialený útočník môže injektovaním odpovedných hlavičiek do backend aplikácií spôsobiť desynchronizáciu HTTP prenosu [4].
Zraniteľnosť sa nachádza v produktoch:
- apache httpd vo verziách >=2.4.0 AND <=2.4.58
- apache http_server vo verziách >=2.4.0 AND <=2.4.58
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:L
Viac informácií:
- CVE-2024-24795 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 4. 4. 2024.
Odkazy
Publikoval Radko Krkoš dňa 5. 4. 2024.
