跳到主要內容區塊

國立臺灣大學計算機及資訊網路中心

重要資安警訊

:::
:::
Apache Http Server多個漏洞,請盡速更新
  • 上版日期:2024-07-11

Apache Software Foundation 於113年7月1日發布了一個安全性更新,修復HTTP Server及其模組的多個漏洞。請網站管理者盡速評估,並將網站進行備份或快照後,執行Apache版本的更新。

受影響的系統:
Apache HTTP Server 2.4.60之前的版本。

漏洞影響:
攻擊者可以透過特製的請求至HTTP Server攻擊漏洞,導致可遠端程式碼執行(RCE)、資料或原始碼外洩、繞過後端的身份驗證等等。

漏洞描述:

  • CVE-2024-39573(CVSS 3.0評分值為7.5),攻擊者利用該漏洞將mod_rewrite模組規則請求轉發給mod_proxy模組處理,可能導致資料被洩漏或內部系統遭訪問。
  • CVE-2024-38477(CVSS 3.0評分值為7.5),mod_proxy模組存在NULL指標解除參照漏洞,攻擊者可透過特製封包發送指向不存在位址的請求,導致網站拒絕服務。
  • CVE-2024-38476(CVSS 3.0評分值為8.1),Apache核心存在漏洞,透過向後端應用程式發送惡意程式碼,可能重新導向至內部系統,導致資料遭洩漏或執行本機腳本。
  • CVE-2024-38475(CVSS 3.0評分值為9.1),mod_rewrite模組未正確轉譯,攻擊者利用該漏洞將URL轉址到其他伺服器允許存取的檔案位置,導致原始碼洩漏與執行程式碼。
  • CVE-2024-38474(CVSS 3.0評分值為8.1),mod_rewrite模組存在替換編碼的問題,攻擊者能利用該漏洞在伺服器允許的位置執行程式碼。
  • CVE-2024-38473(CVSS 3.0評分值為8.1),mod_proxy模組存在編碼問題,攻擊者可透過請求包含錯誤編碼的URL繞過後端的身份驗證。
  • CVE-2024-38472(CVSS 3.0評分值為7.5),Windows上的Apache Server存在SSRF漏洞,透過發送惡意請求可能導致NTML雜湊值遭洩漏並破解使用者密碼。
  • CVE-2024-36387(CVSS 3.0評分值為7.5),透過HTTP/2連線的WebSocket服務存在NULL指標解除參照漏洞,攻擊者可透過該漏洞讓伺服器處理程式損毀,嚴重可能導致網站拒絕服務。

相關漏洞詳細資訊請參考官方網站內的版本說明

建議措施:

  • 定期執行資料備份。
  • 將網站執行快照或備份,並將Apache更新至最新的穩定版本。

參考資料:

  1. Apache:https://httpd.apache.org/security/vulnerabilities_24.html
  2. Tenable:https://zh-tw.tenable.com/plugins/nessus/201198