Af Eskil Sørensen, 08/07/24
Apache Foundation har adresseret en kritisk sårbarhed ved offentliggørelse af kildekode i HTTP-serveren.
Det skriver Security Affairs.
Rettelsen indgår i en håndtering af sårbarheder i Apache HTTP-serveren. Sårbarhederne omfatter denial-of-service (DoS), fjernafvikling af kode og uautoriseret adgang.
En af disse sårbarheder er en kritisk kildekodesårbarhed med id’et CVE-2024-39884.
Sårbarheden er forårsaget af en regression i håndteringen af ældre indholdstypekonfigurationer. Når "AddType"-direktivet og lignende indstillinger bruges under visse forhold, kan det utilsigtet afsløre kildekoden for filer, der er beregnet til at blive behandlet, såsom serverside-scripts og konfigurationsfiler. Dette kan føre til, at der afsløres potentielt følsomme data for angribere.
Apache Foundation anbefaler brugere at opgradere til version 2.4.61.
Links:
https://securityaffairs.com/165422/security/apache-source-code-disclosur...