Neautentizovaný vzdialený útočník môže sústavným tokom HTTP/2 hlavičiek spôsobiť neohraničený rast vyrovnávacej pamäte, čo vedie na vyčerpanie prostriedkov a odopretie služby [2].

Zraniteľnosť sa nachádza v produktoch:

• apache httpd vo verziách >=2.4.17 AND <=2.4.58
• apache http_server vo verziách >=2.4.17 AND <=2.4.58

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

• CVE-2024-27316 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 4. 4. 2024.

Napadnuteľná či zlomyseľná backend aplikácia môže kvôli nedostatočnej kontrole vstupu spôsobiť rozdelenie HTTP odpovede [3].

Zraniteľnosť sa nachádza v produktoch:

• apache httpd vo verziách <=2.4.58
• apache http_server vo verziách <=2.4.58

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

Viac informácií:

• CVE-2023-38709 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-20: Improper Input Validation at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 4. 4. 2024.

Autentizovaný vzdialený útočník môže injektovaním odpovedných hlavičiek do backend aplikácií spôsobiť desynchronizáciu HTTP prenosu [4].

Zraniteľnosť sa nachádza v produktoch:

• apache httpd vo verziách >=2.4.0 AND <=2.4.58
• apache http_server vo verziách >=2.4.0 AND <=2.4.58

CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:L

Viac informácií:

• CVE-2024-24795 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 4. 4. 2024.