Apache網頁伺服器安全漏洞威脅穩定性李佩璇 (2024-07-19 16:41:44)

Apache HTTP Server是全球最受歡迎的網頁伺服器之一，最近發現一系列安全漏洞對它的穩定性和安全性帶來重大威脅。本次漏洞涵蓋原始碼洩露、伺服器端請求偽造（SSRF）及拒絕服務（DoS）等三大類問題。

編譯／Cynthia

Apache HTTP Server是全球最受歡迎的網頁伺服器之一，最近發現一系列安全漏洞對它的穩定性和安全性帶來重大威脅。本次漏洞涵蓋原始碼洩露、伺服器端請求偽造（SSRF）及拒絕服務（DoS）等三大類問題。這些漏洞可能引發資料外洩、伺服器崩潰等嚴重後果，所以了解這些漏洞及其影響範圍，對於保護網站的安全顯得尤為重要。

原始碼洩露漏洞

原始碼洩露漏洞主要由CVE-2024-40725和CVE-2024-39884引起，這些漏洞源於Apache HTTP Server的處理器配置問題，尤其是在處理舊版內容類型配置時。駭客可以藉由特定的請求方式，間接訪問本地原始碼，進而取得敏感資料。這些漏洞的潛在影響包括機密程式碼洩漏及應用程式漏洞的暴露，對企業的資訊安全構成重大威脅。以下是幾個關鍵漏洞的簡要說明：

更多新聞：兼具經濟實惠的資安保障！騰雲運算2款新DDoS防禦功能有何亮點？

• CVE-2024-40725：涉及使用 AddType 配置的處理器。






• CVE-2024-39884：與舊有的內容類型處理器配置相關。






• CVE-2024-38475：錯誤的輸出逃脫可能導致原始碼洩露。






• CVE-2022-26377：請求竊取漏洞可在AJP伺服器上發生。






• CVE-2022-36760：請求竊取漏洞涉及mod_proxy_ajp模組。

伺服器端請求偽造漏洞

伺服器端請求偽造漏洞由CVE-2024-40898和CVE-2024-38472引起，主要影響Apache HTTP Server的mod_rewrite模組，尤其在Windows系統中更為明顯。這些漏洞允許駭客向惡意伺服器發送偽造的請求，可能會導致在Windows 系統中用於身份驗證的NTLM 哈希值（NTLM Hashes）或其他敏感資料洩漏。這可能會讓內部網路的資訊被竊取，並允許未經授權的數據訪問，對系統安全構成嚴重威脅。以下是幾個關鍵漏洞的簡要說明：

• CVE-2024-40898：在Windows系統上的SSRF漏洞，涉及mod_rewrite 模組。






• CVE-2024-38472：Windows系統上的SSRF漏洞，可能導致NTLM哈希值洩露。






• CVE-2024-38473：mod_proxy的編碼問題，可能會繞過認證機制。






• CVE-2024-39573：mod_rewrite的潛在SSRF漏洞。






• CVE-2023-25690：HTTP請求拆分漏洞，涉及mod_rewrite和mod_proxy模組。






• CVE-2023-27522：mod_proxy_uwsgi的HTTP回應拆分漏洞。






• CVE-2022-37436：mod_proxy的HTTP回應拆分漏洞。






• CVE-2022-26377：mod_proxy_ajp的請求竊取漏洞。

拒絕服務漏洞

拒絕服務漏洞由CVE-2024-36387和CVE-2024-38477引起，主要與Apache HTTP Server處理WebSocket升級請求和mod_proxy模組相關。這些漏洞可能讓駭客引發伺服器崩潰或造成性能下降，導致服務中斷。具體來說，空指標解引用（Null Pointer Dereference）或無限請求會消耗伺服器的資源，導致系統無法正常運行，最終使網站無法正常運作。以下是幾個關鍵漏洞的簡要說明：

• CVE-2024-36387：WebSocket升級至HTTP/2時的空指標解參考，可能導致伺服器崩潰。






• CVE-2024-27316：HTTP/2的記憶體耗盡漏洞，源於無限續篇幀的處理問題。






• CVE-2023-43622：HTTP/2初始窗口大小設為0的DoS漏洞，影響伺服器性能。






• CVE-2023-45802：HTTP/2流重置時的記憶體未立即釋放，可能導致記憶體耗盡。






• CVE-2022-29404：mod_lua的DoS漏洞，涉及r(0)的處理問題。






• CVE-2022-30522：mod_sed的DoS漏洞，源於處理過大輸入的問題。






• CVE-2018-17189：HTTP/2請求體傳輸過慢可能會導致伺服器資源耗盡，造成服務中斷。






• CVE-2018-11763：HTTP/2持續SETTINGS框架的DoS漏洞，影響伺服器穩定性。

對不同網站的影響

這些漏洞對不同類型的網站造成不同層次的風險。對於金融機構和電商網站來說，原始碼洩露可能會暴露商業邏輯，而伺服器端請求偽造則有可能導致內部系統的機密資訊洩漏。拒絕服務漏洞可能會影響網站的正常運作。受影響的Apache HTTP Server版本包括2.4.60及更早版本，這些版本的網站應優先進行更新，以減少風險。

更新與配置建議

為了修補Apache HTTP Server的安全漏洞，網站管理員應立即將伺服器更新至安全版本（包含2.4.62以上版本）。修補過程中需檢查並更新伺服器配置，尤其是mod_rewrite和mod_proxy模組。建議定期進行安全掃描和漏洞評估，並及時應用所有安全更新。

資料來源：Cyber Security News

這篇文章 Apache網頁伺服器安全漏洞威脅穩定性 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。