Oracle HTTP Server2025 年 7 月 CPU

high Nessus 插件 ID 242272

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 HTTP Server 版本受到 2025 年 7 月 CPU 公告中提及的多个漏洞的影响。

- 在 2.13.8 之前的 libxml2 和 2.14.2 之前的 2.14.x 中，xmlschemas.c 中的 xmlSchemaIDCFillNodeTables 存在基于堆的缓冲区读取不足问题。要利用此问题，必须根据包含特定身份限制的 XML 方案对特制的 XML 文档进行验证，或者必须使用特制的 XML 方案。(CVE-2025-32415)

- Apache HTTP Server 的多个模块中包含 HTTP 响应拆分漏洞，攻击者可利用此漏洞将恶意响应标头注入后端应用程序，造成 HTTP 不同步攻击。建议用户升级为已修复此问题的 2.4.59 版。(CVE-2024-24795)

- Windows 上Apache HTTP Server 中的 SSRF 允许通过 SSRF 和恶意请求或内容将 NTLM 哈希泄漏给恶意服务器。建议用户升级到版本 2.4.60 其中修复了此问题。注意：用于访问 UNC 路径的现有配置必须配置新指令 UNCList，以允许在请求处理期间进行访问。(CVE-2024-38472)

- 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_proxy 存在空指针取消引用漏洞，导致攻击者可以通过恶意请求造成服务器崩溃。建议用户升级为已修复此问题的 2.4.60 版。(CVE-2024-38477)

- Apache HTTP Server 2.4.60 核心中的回归忽略了处理程序的基于旧内容类型配置的某些使用。AddType 和类似配置在某些情况下间接请求文件，导致本地内容的源代码泄露。例如，系统可能会提供 PHP 脚本，而非解释 PHP 脚本。建议用户升级为已修复此问题的 2.4.61 版。
(CVE-2024-39884)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。