Релиз http-сервера Apache 2.4.61 с устранением уязвимостей

03.07.2024 23:08

Доступен релиз HTTP-сервера Apache 2.4.61, который опубликован почти сразу после выпуска 2.4.60 и включает исправление регрессивного изменения, вызвавшего уязвимость (CVE-2024-39884), позволяющую посмотреть код скриптов, обработка которых настроена при помощи директивы AddType (например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения).

В версии Apache httpd 2.4.60 устранено 8 уязвимостей, из которых 5 помечены как важные, а также представлено 13 изменений. Выявленные уязвимости:

CVE-2024-38473 - проблема в mod_proxy, позволяющая через использование некорректной кодировки URL (%xx, url encoding) добиться обхода аутентификации к сервисам на бэкенде.
CVE-2024-38476 - при наличии уязвимого приложения, используемого в качестве бэкенда, можно добиться выполнения локальных скриптов или утечки информации.
CVE-2024-38474, CVE-2024-38475 - некорректное экранирование вывода mod_rewrite, позволяет атакующему отразить URL на каталог в локальной ФС, который обрабатывается HTTP-сервером, но недоступен по ссылке.
CVE-2024-38472 - возможность совершения атаки SSRF против серверов на платформе Windows.
CVE-2024-39573 - возможность осуществить атаку SSRF (Server-side request forgery) на mod_rewrite, позволяющую добиться обработки URL в mod_proxy при помощи присутствующих в настройках небезопасных правил (RewriteRule).
CVE-2024-36387 - отказ в обслуживании из-за разыменования нулевого указателя при использовании протокола WebSocket поверх HTTP/2.
CVE-2024-38477 - отказ в обслуживании при обработке специально оформленного запроса в mod_proxy, вызванный разыменованием нулевого указателя.

Среди не связанных с безопасностью изменений:

В директивах Listen и VirtualHost добавлена поддержка указания зоны и области действия локальных адресов IPv6.
Обновлено содержимое файла mime.types.
В mod_cgid добавлена опциональная поддержка передачи файловых дескрипторов.
В модуле mod_tls до версии 0.13.0 обновлён пакет rustls-ffi.
В модуле mod_md, применяемом для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), появилась директива MDCheckInterval для определения интервала проверки отзыва сертификата.

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/61485-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (25)

1.1, Александр Пистолетов (?), 23:14, 03/07/2024 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Эх, помню времена php + MySQL + apache на хостинге по 10 у.е. за 100 мега(!)байт. А щаз оно где-то используется кроме легаси?

2.3, Gorge (?), 23:27, 03/07/2024 [^] [^^] [^^^] [ответить]	–12 +/–
Почти нигде не используется. Большинство сайтов сейчас работает на kubernetes.

3.5, Ramiralez (?), 23:43, 03/07/2024 [^] [^^] [^^^] [ответить]	+6 +/–
Ойли? Регулярно натыкаюсь на сбои достаточно крупных сайтов, где не настроили нормально логи и вижу, что наебизнес все также активно юзает старый добрый шаред хостинг)

3.14, Аноним (14), 13:15, 04/07/2024 [^] [^^] [^^^] [ответить]	+/–
А внутри Кубернетиса что вебсервером?

4.15, anonymous (??), 14:12, 04/07/2024 [^] [^^] [^^^] [ответить]	+3 +/–
Магия.

4.21, noc101 (ok), 20:31, 04/07/2024 [^] [^^] [^^^] [ответить]	+/–
> А внутри Кубернетиса что вебсервером? Кубернетис наверное)))

4.33, Аноним (33), 03:42, 06/07/2024 [^] [^^] [^^^] [ответить]	+/–
Томкат

2.7, нах. (?), 00:17, 04/07/2024 [^] [^^] [^^^] [ответить]	–2 +/–
используется - примерно у тех самых недохостеров по 10 уе. Правда обычно сверху прикрыто nginx, но юзеру этого не видно.

3.20, Аноним (-), 19:28, 04/07/2024 [^] [^^] [^^^] [ответить]	+/–
> используется - примерно у тех самых недохостеров по 10 уе. Ну если учесть что за половину от этого можно взять KVM виртуалку, с которой залить полинтернета, нахрен, особенно если nginx взять...

4.24, нах. (?), 11:54, 05/07/2024 [^] [^^] [^^^] [ответить]

+/–

>> используется - примерно у тех самых недохостеров по 10 уе.
> Ну если учесть что за половину от этого можно взять KVM виртуалку,

И вдесятеро больше заплатить прикованному криворукчке чтоб он на нее нгынкси ставил?
Вот спасибо-то!

Смысл шаредхостинга давным-давно уже не в том чтобы запихать невпиxyeмое. Смысл в том чтобы избавить клиента от траходрома с настройками.

managed виртуалки - сильно дороже 10 уе. И лучше бы тебе не знать, как они managed. Потому что это как раз адова работа, ибо у каждого гения там своя кривуля получится.

А тут - в вебинтерфейсике (ftp ж немодно) tar залил, оно там распаковалось, и как-то работает.
(и да, по этой причине нам нужен .htaccess, чтобы те кто юзеру наслесарили вот это - могли в тот тар сложить все свои местные настройки, а не требовать от хостера того, сами не знают, чего)

5.30, Аноним (30), 18:48, 05/07/2024 [^] [^^] [^^^] [ответить]	+/–
Для этого уже давно придумали развертывание приложений в контейнерах. Тыкнул кнопочку - и вот у тебя вордпресс, джумла, опенкарт или что там тебе надо. Ни про какие htaccess и прочие тары знать не надо.

6.31, scriptkiddis (?), 03:25, 06/07/2024 [^] [^^] [^^^] [ответить]	+/–
Да можно вообще ни про что не знать. Вам бы как раз все меньше и меньше знаний.

4.25, Роман (??), 11:57, 05/07/2024 [^] [^^] [^^^] [ответить]	+/–
придётся еще и админа брать или может даже программиста - бэкапчика там хоть какие-то, чтобы почта доставлялась, а не пропадала, домены и всякие там ссл сертификаты. Это слегка больше будет стоить.

5.28, нах. (?), 16:25, 05/07/2024 [^] [^^] [^^^] [ответить]

+/–

> придётся еще и админа брать или может даже программиста

или даже двух, потому что один попадет под асфальтовый каток, и все - начинай заново. (бывало что даже домены такие лавочки вынуждены были новые себе регить - от старого никто не знал ни учеток, ни данных. А тут - целый сервер!)

2.8, noc101 (ok), 00:46, 04/07/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Апач используется много где. 40% сайтов на нем крутся. Потом идет nginx, но в большинстве случаев за nginx стоит апач.

3.11, Ilya Indigo (ok), 04:51, 04/07/2024 [^] [^^] [^^^] [ответить]	–1 +/–
В 99.99% случаев это нужно исключительно для .htaccess чтобы криворукие админы г-но сайтов на вёрдпрессе не положили весь г-но хостинг. Для нормальных сайтов используются VPS-ки с чистым nginx, или с модулем lua или openresty.

4.26, Роман (??), 12:00, 05/07/2024 [^] [^^] [^^^] [ответить]	+/–
секрет в том что никаких админов и нет, условный отдел маркетинга за такое счастье готов пойти на жертвы в виде требования .htaccess и делает это легко, ибо никакого .htaccess для них тоже нет.

5.27, Ilya Indigo (ok), 12:23, 05/07/2024 [^] [^^] [^^^] [ответить]	+/–
> секрет в том что никаких админов и нет, условный отдел маркетинга за > такое счастье готов пойти на жертвы в виде требования .htaccess и > делает это легко, ибо никакого .htaccess для них тоже нет. Вот таких условных маркетологов я и называю г-но админами, которые админами не являются, а 301-ые редиректы и 403/410 коды прописывать им нужно.

6.29, Роман (??), 17:55, 05/07/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

1.2, Аноним (2), 23:24, 03/07/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Жива еще легенда!

2.19, Аноним (19), 18:41, 04/07/2024 [^] [^^] [^^^] [ответить]	+/–
я бы caddy webserver попробовал

1.4, голос из леса (?), 23:28, 03/07/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>> CVE-2024-38473 - проблема в mod_proxy, позволяющая через использование некорректной кодировки в URL добиться обхода аутентификации к сервисам на бэкенде. Это как вообще?

2.6, Аноним (6), 00:04, 04/07/2024 [^] [^^] [^^^] [ответить]	+/–
Читать в оригинале надо. Там encoding. Вероятно - речь про умышленно некорректно сформированный urlencode.

1.23, Anonimous (?), 05:39, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В nextcloud он до сих пор предпочитаемый вариант.

1.32, Аноним (33), 03:41, 06/07/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Звучит как что то из 2000-х

игнорирование участников | лог модерирования

Добавить комментарий

Текст: