Apache HTTP Server 2.4.64 lansat cu patch-uri pentru 8 vulnerabilități
Sursă: https://cybersecuritynews.com/
Apache Software Foundation a lansat versiunea 2.4.64 a serverului Apache HTTP, abordând 8 vulnerabilități de securitate care afectau versiunile de la 2.4.0 la 2.4.63.
Această ultimă actualizare remediază o serie de probleme, inclusiv divizarea răspunsului HTTP, SSRF (server-side request forgery) și vulnerabilități de tip denial of service care ar putea compromite securitatea și performanța serverului.
Cea mai semnificativă vulnerabilitate remediată în această versiune este CVE-2024-42516, o eroare de divizare a raspunsurilor HTTP în nucleul serverului Apache HTTP.
Această vulnerabilitate permite atacatorilor ce pot manipula antetele de răspuns Content-Type ale aplicațiilor găzduite sau proxy să divizeze răspunsurile HTTP.
În special, această vulnerabilitate a fost identificată anterior drept CVE-2023-38709, dar patch-ul inclus în Apache HTTP Server 2.4.59 nu a reușit să remedieze problema în mod adecvat.
Două vulnerabilități suplimentare legate de SSL/TLS au fost remediate. CVE-2025-23048 reprezintă o eroare de ocolire a controlului de acces ce afectează configurațiile mod_ssl pe versiunile Apache HTTP Server 2.4.35 până la 2.4.63.
A două vulnerabilitate SSL, CVE-2025-49812, afectează configurațiile care utilizează SSLEngine optional pentru a activa actualizările TLS, permițând atacatorilor man-in-the-middle să deturneze sesiunile HTTP prin atacuri de actualizare TLS.
O altă problemă de securitate remediată este CVE-2024-47252, care implică o eroare de tip insufficient escaping asupra datelor furnizate de utilizator în mod_ssl.
Apache HTTP Server 2.4.64 remediază două vulnerabilități SSRF distincte care ar putea permite atacatorilor să manipuleze solicitările serverului. CVE-2024-43204 afectează configurațiile cu mod_proxy încărcat și mod_headers configurat pentru a modifica antetele Content-Type folosind valorile cererilor HTTP.
A doua vulnerabilitate SSRF, CVE-2024-43394, vizează în special versiunile Windows ale serverului Apache HTTP.
CVE-2025-49630 afectează configurațiile reverse proxy pentru back-end-uri HTTP/2 cu ProxyPreserveHost activat, permițând atacatorilor să declanșeze aserțiuni în mod_proxy_http2 și să provoace întreruperea serviciului.
CVE-2025-53020 reprezintă o vulnerabilitate de tip denial of service legată de memorie în implementările HTTP/2 care afectează Apache HTTP Server versiunile 2.4.17 până la 2.4.63.
Apache Software Foundation recomandă insistent actualizarea imediată la versiunea 2.4.64 pentru toți utilizatorii care folosesc versiunile afectate.
Sursă: https://cybersecuritynews.com/apache-http-server-2-4-64-released/
