漏洞描述:
Apache HTTP Server存在信息泄漏漏洞,该漏洞形成的原因是输出的不当转义允许攻击者将URL映射到允许服务器提供服务但任何URL都无法故意/直接访问的文件系统位置,从而导致代码执行或源代码泄露,服务器上下文中使用反向引用或变量作为替换的第一段的替换会受到影响,此更改将破坏一些不安全的RewiteRules,并且重写标志“UnsafePrefixStat”可用于在确保替换受到适当限制后重新选择加入,此漏洞将影响 Apache HTTP Server 2.4.59 及更早版本。
修复建议:
正式防护方案:
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
Apache HTTP Server >= 2.4.60
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
参考链接:
https://httpd.apache.org/security/vulnerabilities_24.html
https://access.redhat.com/security/cve/cve-2024-38475