(https://i.postimg.cc/CKNcnSHS/Apache.png) (https://postimages.org/)
La Apache Software Foundation ha abordado múltiples vulnerabilidades en su popular servidor HTTP Apache. Las vulnerabilidades incluyen denegación de servicio (DoS), ejecución remota de código y problemas de acceso no autorizado.
Una de estas vulnerabilidades es una vulnerabilidad de divulgación de código fuente crítica rastreada como CVE-2024-39884.
"Una regresión en el núcleo de Apache HTTP Server 2.4.60 ignora parte del uso de la configuración de controladores heredada basada en el tipo de contenido". "AddType" y configuraciones similares, en algunas circunstancias en las que los archivos se solicitan indirectamente, dan como resultado la divulgación del código fuente del contenido local. Por ejemplo, los scripts PHP pueden servirse en lugar de "interpretarse".
La vulnerabilidad CVE-2024-39884 se debe a una regresión en el manejo de configuraciones de tipo de contenido heredadas. Cuando se utiliza la directiva "AddType" y configuraciones similares bajo ciertas condiciones, puede exponer involuntariamente el código fuente de los archivos que deben procesarse, como scripts del lado del servidor y archivos de configuración, lo que potencialmente revela datos confidenciales a los atacantes.
La Fundación Apache recomienda a los usuarios actualizar a la versión 2.4.61.
Fuente:
SecurityAffairs
https://securityaffairs.com/165422/security/apache-source-code-disclosure-flaw-apache-http-server.html