2024年7月1日,网上公开披露了一个Apache HTTP Server mod_rewrite输出不当逃逸漏洞(CVE-2024-38475),Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器,请各位用户尽快安装漏洞补丁。
漏洞风险:Apache HTTP Server 2.4.59 及更早版本中 mod_rewrite 模块在处理 URL 重写时,如果使用反向引用或变量作为替换的第一部分,可能会导致输出转义不当,攻击者可借助此漏洞将 URL 映射到不应该被用户访问的文件系统位置,从而导致代码执行或源代码泄露。修复版本中通过默认禁用掉不安全的重写规则,增加 UnsafePrefixStat 选项来修复该漏洞。
风险等级:高风险。
影响范围:
2.4.0 <= Apache HTTP Server <= 2.4.59
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本
进行安全更新方法:
https://httpd.apache.org/download.cgi
