Apache HTTP Server是全球最受歡迎的網頁伺服器之一,最近發現一系列安全漏洞對它的穩定性和安全性帶來重大威脅。本次漏洞涵蓋原始碼洩露、伺服器端請求偽造(SSRF)及拒絕服務(DoS)等三大類問題。
編譯/Cynthia
Apache HTTP Server是全球最受歡迎的網頁伺服器之一,最近發現一系列安全漏洞對它的穩定性和安全性帶來重大威脅。本次漏洞涵蓋原始碼洩露、伺服器端請求偽造(SSRF)及拒絕服務(DoS)等三大類問題。這些漏洞可能引發資料外洩、伺服器崩潰等嚴重後果,所以了解這些漏洞及其影響範圍,對於保護網站的安全顯得尤為重要。
原始碼洩露漏洞主要由CVE-2024-40725和CVE-2024-39884引起,這些漏洞源於Apache HTTP Server的處理器配置問題,尤其是在處理舊版內容類型配置時。駭客可以藉由特定的請求方式,間接訪問本地原始碼,進而取得敏感資料。這些漏洞的潛在影響包括機密程式碼洩漏及應用程式漏洞的暴露,對企業的資訊安全構成重大威脅。以下是幾個關鍵漏洞的簡要說明:
更多新聞:兼具經濟實惠的資安保障!騰雲運算2款新DDoS防禦功能有何亮點?
伺服器端請求偽造漏洞由CVE-2024-40898和CVE-2024-38472引起,主要影響Apache HTTP Server的mod_rewrite模組,尤其在Windows系統中更為明顯。這些漏洞允許駭客向惡意伺服器發送偽造的請求,可能會導致在Windows 系統中用於身份驗證的NTLM 哈希值(NTLM Hashes)或其他敏感資料洩漏。這可能會讓內部網路的資訊被竊取,並允許未經授權的數據訪問,對系統安全構成嚴重威脅。以下是幾個關鍵漏洞的簡要說明:
拒絕服務漏洞由CVE-2024-36387和CVE-2024-38477引起,主要與Apache HTTP Server處理WebSocket升級請求和mod_proxy模組相關。這些漏洞可能讓駭客引發伺服器崩潰或造成性能下降,導致服務中斷。具體來說,空指標解引用(Null Pointer Dereference)或無限請求會消耗伺服器的資源,導致系統無法正常運行,最終使網站無法正常運作。以下是幾個關鍵漏洞的簡要說明:
這些漏洞對不同類型的網站造成不同層次的風險。對於金融機構和電商網站來說,原始碼洩露可能會暴露商業邏輯,而伺服器端請求偽造則有可能導致內部系統的機密資訊洩漏。拒絕服務漏洞可能會影響網站的正常運作。受影響的Apache HTTP Server版本包括2.4.60及更早版本,這些版本的網站應優先進行更新,以減少風險。
為了修補Apache HTTP Server的安全漏洞,網站管理員應立即將伺服器更新至安全版本(包含2.4.62以上版本)。修補過程中需檢查並更新伺服器配置,尤其是mod_rewrite和mod_proxy模組。建議定期進行安全掃描和漏洞評估,並及時應用所有安全更新。
資料來源:Cyber Security News
這篇文章 Apache網頁伺服器安全漏洞威脅穩定性 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。
系統合作: 精誠資訊股份有限公司 資訊提供: 精誠資訊股份有限公司 資料來源: 台灣證券交易所, 櫃買中心, 台灣期貨交易所 |