English

◀◁ 뒤로 취약점ID 210286 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 Apache httpd의 2.4.60 이전 버전이 설치된 원격 호스트는 2.4.60 권고문에서 언급된 여러 취약점의 영향을 받습니다. - HTTP/2 연결을 통한 WebSocket 프로토콜 업그레이드 시 Null 포인터 역참조가 발생하여 서버 프로세스가 중단되고 성능이 저하될 수 있습니다. (CVE-2024-36387) - Windows의 Apache HTTP Server의 SSRF 취약점으로 인해 SSRF와 악의적인 요청 또는 콘텐츠를 통해 악성 서버로 NTLM 해시가 유출될 수 있습니다. 사용자는 이 문제를 해결한 버전 2.4.60으로 업그레이드하는 것이 권장됩니다. 참고: UNC 경로에 접근하는 기존 구성은 요청 처리 중 접근을 허용하기 위해 새로운 지시어 UNCList를 구성해야 합니다. (CVE-2024-38472) - Apache HTTP Server 2.4.59 이하 버전의 mod_proxy의 인코딩 문제로 인해 잘못된 인코딩이 된 요청 URL이 백엔드 서비스로 전송될 수 있어, 조작된 요청을 통해 인증을 우회할 수 있습니다. 사용자는 이 문제를 해결한 버전 2.4.60으로 업그레이드하는 것이 권장됩니다. (CVE-2024-38473) - Apache HTTP Server 2.4.59 이하 버전의 mod_rewrite의 치환 인코딩 문제로 인해 공격자가 구성에서 허용된 디렉터리에서 스크립트를 실행하거나 CGI로만 실행되도록 의도된 스크립트의 소스를 노출할 수 있습니다. 사용자는 이 문제를 해결한 버전 2.4.60으로 업그레이드하는 것이 권장됩니다. 안전하지 않게 캡처하고 치환하는 일부 RewriteRule은 rewrite 플래그 UnsafeAllow3F가 지정되지 않는 한 실패합니다. (CVE-2024-38474) - Apache HTTP Server 2.4.59 이하 버전의 mod_rewrite의 부적절한 출력 이스케이프로 인해 공격자가 서버에서 제공이 허용되지만 의도적으로/직접적으로 URL로 접근할 수 없는 파일시스템 위치로 URL을 매핑할 수 있어, 코드 실행이나 소스 코드 노출이 발생할 수 있습니다. 백레퍼런스나 변수를 치환의 첫 번째 세그먼트로 사용하는 서버 컨텍스트의 치환이 영향을 받습니다. 일부 안전하지 않은 RewriteRule은 이 변경으로 인해 작동하지 않게 되며, 치환이 적절히 제한되었는지 확인한 후 rewrite 플래그 UnsafePrefixStat을 사용하여 다시 활성화할 수 있습니다. (CVE-2024-38475) - Apache HTTP Server 2.4.59 이하 버전의 코어의 취약점으로 인해 악의적이거나 악용 가능한 응답 헤더를 가진 백엔드 애플리케이션을 통해 정보 노출, SSRF 또는 로컬 스크립트 실행이 가능합니다. 사용자는 이 문제를 해결한 버전 2.4.60으로 업그레이드하는 것이 권장됩니다. (CVE-2024-38476) - Apache HTTP Server 2.4.59 이하 버전의 mod_proxy의 null 포인터 역참조 취약점으로 인해 공격자가 악의적인 요청을 통해 서버를 중단시킬 수 있습니다. 사용자는 이 문제를 해결한 버전 2.4.60으로 업그레이드하는 것이 권장됩니다. (CVE-2024-38477) - Apache HTTP Server 2.4.59 이하 버전의 mod_rewrite의 잠재적 SSRF 취약점으로 인해 공격자가 안전하지 않은 RewriteRule이 예기치 않게 mod_proxy에서 처리할 URL을 설정하도록 할 수 있습니다. 사용자는 이 문제를 해결한 버전 2.4.60으로 업그레이드하는 것이 권장됩니다. (CVE-2024-39573) * 참고 사이트: https://httpd.apache.org/security/vulnerabilities_24.html https://security.netapp.com/advisory/ntap-20240712-0001/ * 영향을 받는 플랫폼: Apache HTTP Server 2.4.60 이전 2.4.x 버전 Any operating system Any version 해결책 Apache Software Foundation 웹 사이트인 http://httpd.apache.org/download.cgi 에서 구할 수 있는 Apache HTTP Server의 가장 최신 버전(2.4.60 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2024-36387,CVE-2024-38472,CVE-2024-38473,CVE-2024-38474,CVE-2024-38475,CVE-2024-38476,CVE-2024-38477,CVE-2024-39573 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)