[ON] Релиз http-сервера Apache 2.4.64 с устранением 8 уязвимостей

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Аватара пользователя
rssbot
Бот
Сообщения: 6001
ОС: gnu/linux

[ON] Релиз http-сервера Apache 2.4.64 с устранением 8 уязвимостей

Сообщение rssbot »

Представлен релиз HTTP-сервера Apache 2.4.64, в котором устранено 8 уязвимостей и внесено 19 изменений.


Устранённые уязвимости (первые 4 имеют умеренный уровень опасности, а остальные низкий):
  • CVE-2024-42516 - возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться расщепления содержимого заголовка Content-Type в ответе для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
  • CVE-2024-43394 - специфичная для платформы Windows уязвимость SSRF (Server-Side Request Forgery), которая при отправке специально оформленных запросов может привести к утечке NTLM-хэшей на сервер, подконтрольный атакующим.
  • CVE-2025-53020 - отказ в обслуживании через HTTP/2, приводящий к чрезмерному потреблению памяти.
  • CVE-2025-49812 - уязвимость в mod_ssl, позволяющая атакующему, контролирующему трафик (MITM), выполнить подстановку HTTP-сеанса, вклинившись в момент перехода с HTTP на HTTPS.
  • CVE-2025-23048 - обход ограничений доступа в mod_ssl при восстановлении прерванного сеанса.
  • CVE-2025-49630 - отказ в обслуживании, приводящий к аварийному завершению работы модуля mod_proxy_http2.
  • CVE-2024-47252 - некорректное экранирование символов в информации об ошибках mod_ssl, записываемой в лог.
  • CVE-2024-43204 - SSRF-уявзимость в mod_headers, позволяющая добиться в mod_proxy отправки исходящего запроса по адресу, указанному атакующим.



Среди не связанных с безопасностью улучшений:
  • В mod_systemd добавлена поддержка активации по сокету.
  • Модуль mod_http2 добавлена директива H2MaxHeaderBlockLen для ограничения размера HTTP-заголовков при ответе.
  • В mod_http2 обеспечена запись информации о продолжительности запросов HTTP/2.
  • Модуль mod_md добавлены директивы DProfile и
    MDProfileMandatory для поддержки расширения протокола ACME, реализующего профили сертификатов.


Источник: https://www.opennet.ru/opennews/art.shtml?num=63566
(opennet.ru, мини-новости)
Спасибо сказали: