Beveiligingsadvies NCSC-2024-0275 [1.00] [M/H] Kwetsbaarheden verholpen in Apache HHTP-server
Kwetsbaarheden Verholpen in Apache HTTP-server
De Apache Software Foundation heeft diverse kwetsbaarheden in de Apache HTTP-server aangepakt. Deze kwetsbaarheden kunnen worden misbruikt door kwaadwillenden om een Denial-of-Service (DoS) te veroorzaken, Server-Side Request Forgery (SSRF) te manipuleren, of niet-geautoriseerde code uit te voeren op de webserver.
Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
| Publicatie | Kans | Schade | ||
|---|---|---|---|---|
| vandaag | medium | high |
Signed-PGP → CSAF → PDF → |
Kenmerken
- Improper Encoding or Escaping of Output
- Improper Input Validation
- Exposure of Sensitive Information to an Unauthorized Actor
- Server-Side Request Forgery (SSRF)
- NULL Pointer Dereference
- Inclusion of Functionality from Untrusted Control Sphere
- Encoding Error
- Improper Access Control
- Improper Resource Shutdown or Release
Omschrijving
De Apache Software Foundation heeft updates uitgebracht die meerdere kwetsbaarheden in de Apache HTTP-Server oplossen. Deze kwetsbaarheden stellen een aanvaller in staat om een Denial-of-Service (DoS) aanval uit te voeren, Server-Side Request Forgery (SSRF) te exploiteren, of niet-geautoriseerde code uit te voeren binnen de webserver.
Bereik
| Platforms | Producten | Versies |
|---|---|---|
|
Apache HTTP_Server |
2.4.0 – 2.4.59 |
Oplossingen
De Apache Software Foundation heeft updates uitgebracht voor de Apache HTTP-Server versie 2.4.60 om deze kwetsbaarheden te verhelpen. Voor meer informatie kunt u de volgende link raadplegen.
CVE’s
CVE-2024-36387,
CVE-2024-38472,
CVE-2024-38473,
CVE-2024-38474,
CVE-2024-38475,
CVE-2024-38476,
CVE-2024-38477,
CVE-2024-39573
Door gebruik te maken van dit beveiligingsadvies gaat u akkoord met de volgende voorwaarden. Hoewel het NCSC de uiterste zorg heeft besteed aan de samenstelling van dit advies, kan het NCSC niet instaan voor de volledigheid, juistheid of actualiteit ervan. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan deze informatie kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade die voortvloeit uit het gebruik of de onmogelijkheid van gebruik van dit beveiligingsadvies, inclusief schade te wijten aan onvolledigheid of onjuistheid van de informatie. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen zullen worden voorgelegd aan de exclusief bevoegde rechter in Den Haag.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
Lees Hier de Laatste Updates uit Onze Securitylog