Beveiligingsadvies NCSC-2024-0314 [1.00] [M/H] Kwetsbaarheden verholpen in Apache HTTP Server
Kwetsbaarheden Verholpen in Apache HTTP Server Versie 2.4
### Overzicht van Kwetsbaarheden
Het Nationaal Cyber Security Centrum (NCSC) heeft een beveiligingsadvies uitgebracht betreffende twee ernstige kwetsbaarheden in de Apache HTTP Server, versie 2.4. Hieronder wordt een overzicht gegeven van de belangrijkste details, de getroffen componenten en de aanbevolen maatregelen.
| Publicatie | Kans | Schade | Beschikbaar Formaat | Download |
|---|---|---|---|---|
| Versie 1.00 | vandaag | NCSC-2024-0314 | ||
|
medium |
high |
Signed-PGP → CSAF → PDF → |
||
| vandaag |
medium |
high |
NCSC-2024-0314 [1.00] |
Signed-PGP → Text, CSAF (sig), |
### Kenmerken
Deze beveiligingslekken hebben de volgende kenmerken:
- Server-Side Request Forgery (SSRF)
- Ongeautoriseerde Toegang tot Gevoelige Informatie
- Ongepaste Blootstelling van Bronnen
### Omschrijving
Er zijn twee kritieke kwetsbaarheden geïdentificeerd en verholpen:
1. **CVE-2024-40725:** Deze kwetsbaarheid kan leiden tot het lekken van broncode wanneer bestanden op een indirecte manier worden opgevraagd.
2. **CVE-2024-40898:** Dit betreft een Server-Side Request Forgery (SSRF) waarmee een kwaadwillende NTLM hashes kan stelen.
### Gevolgen
De kwetsbaarheden kunnen ernstige impact hebben op de veiligheid van systemen die de Apache HTTP Server draaien. Hieronder een korte samenvatting:
– **Kans:** Medium
– **Schade:** High
### Bereik en Impact
De volgende platforms, producten en versies worden beïnvloed:
| Platforms | Producten | Versies |
|---|---|---|
|
apache http_server |
2.4.0 – 2.4.61 inclusief subversies |
### Oplossingen
Apache heeft een update uitgebracht om deze kwetsbaarheden te verhelpen. Gebruikers wordt dringend geadviseerd om hun servers bij te werken naar de nieuwste versie. Zie de volgende links voor meer informatie:
### CVE’s
Voor gedetailleerde informatie kunt u de volgende CVE-links raadplegen:
###
Door gebruik te maken van deze security advisory gaat u akkoord met de onderstaande voorwaarden. Hoewel het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is bedoeld voor professionele partijen en hieraan kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade als gevolg van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder ook schade door onjuistheid of onvolledigheid van de informatie. Op dit beveiligingsadvies is Nederlands recht van toepassing en alle geschillen zullen worden voorgelegd aan de bevoegde rechter te Den Haag, ook voor de voorzieningenrechter in kort geding.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----