专栏名称: 飓风网络安全
专注网络安全,成立于2016年;专注于研究安全服务,黑客技术、0day漏洞、提供服务器网站安全解决方案,数据库安全、服务器安全运维。
今天看啥  ›  专栏  ›  飓风网络安全

【漏洞预警】Apache HTTP Server 信息泄露漏洞

飓风网络安全  · 公众号  ·  · 2024-07-02 19:35

文章预览

1.CVE-2024-38474 漏洞描述: Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器,Apache HTTP Server 2.4.59 及之前版本中 mod_rewrite模块存在替换编码问题,由于针对%3f的URL编码处理不当,攻击者可配置无法通过URL或仅作为CGI执行的脚本访问的目录,从而导致代码执行或源代码泄露,修复版本中通过默认禁用不安全的重写规则,增加UnsafeAllow3F选项来修复该漏洞。 影响范围: apache2(-∞, 2.4.60-1) http_server@[2.4.0, 2.4.60) 修复方案: 将组件apache2升级至2.4.60-1及以上版本 将组件http_server升级至2.4.60及以上版本 2.CVE-2024-38475 漏洞描述: Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器,Apache HTTP Server 2.4.59 及更早版本中mod_rewrite模块在处理URL 重写时,如果使用反向引用或变量作为替换的第一部分,可能会导致输出转义不当,攻击者可借助此漏洞将URL映射到不应 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览