English

◀◁ 뒤로 취약점ID 210293 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 원격 호스트에 설치된 Apache httpd 버전이 2.4.67 이전 버전입니다. 따라서 2.4.67 권고문에서 언급된 다음과 같은 여러 취약점의 영향을 받습니다. - Apache HTTP Server의 mod_proxy_ajp에 존재하는 힙 기반 버퍼 오버플로(Heap-based Buffer Overflow) 취약점. mod_proxy_ajp가 악성 AJP 서버에 연결되는 경우, 해당 AJP 서버는 악의적인 AJP 메시지를 mod_proxy_ajp로 다시 전송하여 힙 기반 버퍼의 끝을 넘어 공격자가 제어하는 4바이트를 쓰도록 유발할 수 있습니다. 이 문제는 2.4.66 이하의 Apache HTTP Server 버전에 영향을 미칩니다. 사용자는 이 문제를 해결한 2.4.67 버전으로 업그레이드하는 것이 권장됩니다. (CVE-2026-28780) - HTTP/2 프로토콜을 사용하는 Apache HTTP Server에 존재하는 이중 해제(Double Free) 및 원격 코드 실행(RCE) 가능성 취약점. 이 문제는 Apache HTTP Server 2.4.66 버전에 영향을 미칩니다. 사용자는 이 문제를 해결한 2.4.67 버전으로 업그레이드하는 것이 권장됩니다. (CVE-2026-23918) - Apache HTTP 2.4.66 및 이전 버전의 다양한 모듈에 존재하는 권한 상승 버그로 인해 로컬 .htaccess 작성자가 httpd 사용자의 권한으로 파일을 읽을 수 있습니다. 사용자는 이 문제를 해결한 2.4.67 버전으로 업그레이드하는 것이 권장됩니다. (CVE-2026-24072) - OCSP 응답 데이터를 통한 Apache HTTP Server mod_md의 제한 또는 스로틀링 없는 리소스 할당 취약점. 이 문제는 2.4.30부터 2.4.66까지의 Apache HTTP Server 버전에 영향을 미칩니다. 사용자는 이 문제를 해결한 2.4.67 버전으로 업그레이드하는 것이 권장됩니다. (CVE-2026-29168) - Apache HTTP Server 2.4.66 및 이전 버전의 mod_dav_lock에 존재하는 NULL 포인터 역참조 취약점으로 인해 공격자가 악의적인 요청을 보내 서버의 작동을 중단(crash)시킬 수 있습니다. mod_dav_lock은 mod_dav 또는 mod_dav_fs에서 내부적으로 사용되지 않습니다. mod_dav_lock의 유일하게 알려진 사용 사례는 1.2.0 이전 버전의 Apache Subversion에 포함된 mod_dav_svn뿐이었습니다. 사용자는 이 문제를 해결한 2.4.66 버전으로 업그레이드하거나 mod_dav_lock을 제거하는 것이 권장됩니다. (CVE-2026-29169) * 참고 사이트: https://httpd.apache.org/security/vulnerabilities_24.html https://nvd.nist.gov/vuln/detail/CVE-2026-28780 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-28780 https://nvd.nist.gov/vuln/detail/CVE-2026-23918 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-23918 https://nvd.nist.gov/vuln/detail/CVE-2026-24072 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-24072 https://nvd.nist.gov/vuln/detail/CVE-2026-29168 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-29168 https://nvd.nist.gov/vuln/detail/CVE-2026-29169 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-29169 * 영향을 받는 플랫폼: Apache HTTP Server 2.4.67 이전 2.4.x 버전 Any operating system Any version 해결책 Apache Software Foundation 웹 사이트인 http://httpd.apache.org/download.cgi 에서 구할 수 있는 Apache HTTP Server의 가장 최신 버전(2.4.67 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2026-23918,CVE-2026-24072,CVE-2026-28780,CVE-2026-29168,CVE-2026-29169,CVE-2026-33006,CVE-2026-33007,CVE-2026-33523,CVE-2026-33857 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)