【漏洞通告】Apache HTTP Server多个高危漏洞安全风险通告

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器，由于其具有跨平台性和安全性，被广泛使用，它是最流行的Web服务器端软件之一。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

1、CVE-2024-38472

Apache HTTP Server Windows UNC SSRF漏洞，经研判，该漏洞为高危漏洞。攻击者通过恶意构造的请求或内容使服务器向恶意服务器发送请求，从而可能泄露NTLM哈希，并可能导致进一步攻击，如密码破解或身份冒充。

2、CVE-2024-38474

Apache HTTP Server mod_rewrite编码问题漏洞，经研判，该漏洞为高危漏洞。受影响版本中的mod_rewrite模块中存在替换编码问题，可能导致攻击者在配置所允许但任何URL都无法直接访问的目录中执行脚本，或者泄露原本仅作为CGI执行的脚本的源代码。

3、CVE-2024-38475

Apache HTTP Server mod_rewrite输出转义不当漏洞，经研判，该漏洞为高危漏洞。受影响版本中的mod_rewrite模块存在输出转义不当，可能导致威胁者将 URL 映射到服务器允许提供服务但无法通过任何 URL直接访问的文件系统位置，从而导致代码执行或源代码泄露。

4、CVE-2024-38477

Apache HTTP Server mod_proxy拒绝服务漏洞，经研判，该漏洞为高危漏洞。受影响版本中的mod_proxy 中存在空指针取消引用，可能导致威胁者通过恶意请求使服务器崩溃，从而造成拒绝服务。

Apache HTTP Server <= 2.4.59

目前该漏洞已经修复，受影响用户可升级到Apache HTTP Server 2.4.60。

下载链接：

https://httpd.apache.org/download.cgi

参考链接：

https://httpd.apache.org/security/vulnerabilities_24.html

https://nvd.nist.gov/vuln/detail/CVE-2024-38472