A Apache Foundation corrigiu uma vulnerabilidade crítica de divulgação de código-fonte, rastreada como CVE-2024-39884, no servidor HTTP. A empresa abordou múltiplas vulnerabilidades em seu popular Apache HTTP Server. As vulnerabilidades incluem negação de serviço (DoS), execução remota de código e problemas de acesso não autorizado.
Vulnerabilidades corrigidas pela Apache no servidor HTTP
Uma das vulnerabilidades corrigidas é uma vulnerabilidade crítica de divulgação de código-fonte rastreada como CVE-2024-39884.
Uma regressão no núcleo do Apache HTTP Server 2.4.60 ignora algum uso da configuração de manipuladores baseada em tipo de conteúdo legado.
”AddType” e configurações semelhantes, sob algumas circunstâncias em que os arquivos são solicitados indiretamente, resultam na divulgação do código-fonte do conteúdo local. Por exemplo, scripts PHP podem ser servidos em vez de interpretados.
Aviso da Apache
A vulnerabilidade CVE-2024-39884 é causada por uma regressão no tratamento de configurações de tipo de conteúdo legado. Quando a diretiva “AddType” e configurações semelhantes são usadas sob certas condições, ela pode expor involuntariamente o código-fonte de arquivos que devem ser processados, como scripts do lado do servidor e arquivos de configuração, potencialmente revelando dados confidenciais para invasores.
A Apache Foundation recomenda que os usuários atualizem para a versão 2.4.61. Essa atualização é imprescindível para que você se livre dessa falha crítica de uma vez por todas.
A Apache Foundation
A Apache Software Foundation é uma corporação americana sem fins lucrativos para dar suporte a uma série de projetos de software de código aberto. A empresa foi formada a partir de um grupo de desenvolvedores do Apache HTTP Server e incorporada em 25 de março de 1999.
“A Apache Software Foundation é uma comunidade descentralizada de desenvolvedores de código aberto. O software que eles produzem é distribuído sob os termos da Apache License, uma licença de código aberto permissiva para software livre e de código aberto (FOSS).”
“Os projetos Apache são caracterizados por um processo de desenvolvimento colaborativo e baseado em consenso e uma licença de software aberta e pragmática, o que significa que permite que os desenvolvedores, que recebem o software gratuitamente, o redistribuam sob termos não livres. Cada projeto é gerenciado por uma equipe autoselecionada de especialistas técnicos que são contribuidores ativos do projeto. A ASF é uma meritocracia, o que implica que a filiação à fundação é concedida apenas a voluntários que contribuíram ativamente para os projetos Apache”.
A empresa acaba de corrigir importantes vulnerabilidades e a atualização para a versão mais recente do Server HTTP é necessária.