[TLP:CLEAR] Apache HTTP Server opravuje 8 zraniteľností

Apache verziou 2.4.60 opravuje 8 zraniteľností v produkte Apache HTTP Server [1]. Najzávažnejšie zraniteľnosti sú popísané nižšie.

Apache HTTP Server - DoS (CVE-2024-38477)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok zaslaním špeciálne vytvorenej požiadavky [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59.

Viac informácií:

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Apache HTTP Server - RCE (CVE-2024-38476)

Autentizovanému lokálnemu útočníkovi je umožnené neoprávnene pristupovať k informáciám alebo spúšťať lokálne skripty, zasielaním požiadaviek so špeciálne vytvorenými hlavičkami [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59.

Viac informácií:

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Apache HTTP Server - RCE (CVE-2024-38475)

Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k súborom, ktoré nemajú byť priamo dostupné, čo môže spôsobiť spúšťanie kódu alebo neoprávnený prístup k zdrojovým kódom [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59.

Viac informácií:

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Apache HTTP Server - RCE (CVE-2024-38474)

Neautentizovanému vzdialenému útočníkovi je umožnené spúšťať, prípadne si zobrazovať zdrojový kód skriptov, ktoré by nemali byť priamo dostupné [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59.

Viac informácií:

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Apache HTTP Server - SSRF (CVE-2024-38472)

Neautentizovanému vzdialenému útočníkovi je umožnené vo Windows verzii Apache HTTP Server spôsobiť SSRF útok a tým získať neoprávnený prístup k NTML hashom [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách <=2.4.59.

Viac informácií:

Zraniteľnosť bola verejne oznámená 1. 7. 2024.

Publikoval Martin Krajči dňa 3. 7. 2024.

CESNET CERTS Logo