检测

Apache 2.4.x < 2.4.60 多个漏洞

critical Nessus 插件 ID 201198

语言:

简介

远程 Web 服务器受到多个漏洞影响。

描述

远程主机上安装的 Apache httpd 版本低于 2.4.60。因此,它受到 2.4.60 公告中提及的多个漏洞影响。

 - 通过 HTTP/2 连接升级 WebSocket 协议可导致空指针取消引用,从而造成服务器进程崩溃和性能降低。(CVE-2024-36387)

 - 在 Windows 上,Apache HTTP Server 中的 SSRF 漏洞导致或可通过 SSRF 和恶意请求或内容将 NTML 哈希泄漏给恶意服务器。建议用户升级到已修复此问题的版本 2.4.60。注意:用于访问 UNC 路径的现有配置必须配置新指令 UNCList,以允许在请求处理期间进行访问。(CVE-2024-38472)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_proxy 存在编码问题,导致攻击可以将编码错误的请求 URL 发送到后端服务,从而可能通过构建的请求绕过身份验证。建议用户升级为已修复此问题的 2.4.60 版。(CVE-2024-38473)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_rewrite 存在替换编码问题,导致攻击者可以在配置允许但不能通过任何 URL 直接访问的目录中执行脚本,或泄露只能作为 CGI 执行的脚本的源代码。建议用户升级为已修复此问题的 2.4.60 版。部分以不安全方式捕获和替换的 RewriteRules 现在将会失败,除非指定重写标记 UnsafeAllow3F。(CVE-2024-38474)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_rewrite 存在输出转义不当问题,导致攻击者可以将 URL 映射到允许服务器提供服务但不能通过任何 URL 有意/直接访问的文件系统位置,从而导致代码执行或源代码泄露。
 服务器环境中使用向后引用或变量作为替换的第一段的替换会受到影响。一些不安全的 RewiteRules 会因此更改而中断,并且在确保适当限制替换后,可使用重写标记 UnsafePrefixStat 选择重新加入。
 (CVE-2024-38475)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的核心容易受到通过含有恶意或可利用响应头的后端应用程序引起的信息泄露、SSRF 或本地脚本执行漏洞影响。建议用户升级为已修复此问题的 2.4.60 版。(CVE-2024-38476)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_proxy 存在空指针取消引用漏洞,导致攻击者可以通过恶意请求造成服务器崩溃。建议用户升级为已修复此问题的 2.4.60 版。(CVE-2024-38477)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_rewrite 可能存在 SSRF 漏洞,导致攻击者可以造成不安全的 RewriteRules 意外设置要由 mod_proxy 处理的 URL。建议用户升级为已修复此问题的 2.4.60 版。(CVE-2024-39573)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 Apache 2.4.60 或更高版本。

插件详情

严重性: Critical

ID: 201198

文件名: apache_2_4_60.nasl

版本: 1.12

类型: combined

代理: windows, macosx, unix

系列: Web Servers

发布时间: 2024/7/1

最近更新时间: 2025/5/2

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.3

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-38476

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

漏洞信息

CPE: cpe:/a:apache:http_server, cpe:/a:apache:httpd

必需的 KB 项: installed_sw/Apache

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/7/1

漏洞发布日期: 2024/4/1

CISA 已知可遭利用的漏洞到期日期: 2025/5/22

参考资料信息

CVE: CVE-2024-36387, CVE-2024-38472, CVE-2024-38473, CVE-2024-38474, CVE-2024-38475, CVE-2024-38476, CVE-2024-38477, CVE-2024-39573

IAVA: 2024-A-0378-S