Релиз http-сервера Apache 2.4.62 с устранением 2 уязвимостей

Доступен релиз HTTP-сервера Apache 2.4.62, в котором устранены две уязвимости и внесено 6 изменений. Первая уязвимость (CVE-2024-40898) позволяет совершить атаку SSRF (Server-side request forgery) на mod_rewrite. Проблема проявляется только на платформе Windows и при отправке специально оформленных запросов может привести к утечке NTLM-хэшей на сервер, подконтрольный атакующим.

Вторая уязвимость (CVE-2024-40725) позволяет посмотреть код скриптов, обработка которых настроена при помощи директивы AddType. Например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения. Исправление блокирует дополнительный вариант эксплуатации уязвимости CVE-2024-39884, устранённой в версии 2.4.61.

Из не связанных с безопасностью изменений выделяется добавление в mod_ssl возможности загрузки сертификатов и ключей из хранилищ, поддерживающих стандарт pkcs11.

В соответствии с июньским отчётом компании Netcraft под управлением http-сервера Apache работает около 212 млн сайтов (год назад 228 млн). Доля Apache httpd оценивается в 19.28% от всех сайтов, что соответствует второму месту по популярности в данной категории (доля Nginx - 21.35%, Cloudflare - 11.05%, OpenResty (платформа на базе nginx и LuaJIT) - 0.79%). При рассмотрении только активных сайтов Apache занимает первое место в рейтинге с долей 19.13% (доля Nginx - 18.09%, Cloudflare - 14.80%, Google - 10.01%). Среди миллиона самых посещаемых сайтов в мире Apache находится на третьем месте с долей 19.69% (лидируют Cloudflare - 23.10% и Nginx - 20.50%).

Источник: https://www.opennet.ru/opennews/art.shtml?num=61585