243/67 (IT) ประจำวันอังคารที่ 9 กรกฎาคม 2567
Apache Software Foundation ได้แก้ไขช่องโหว่หลายรายการใน Apache HTTP Server โดยมีช่องโหว่ต่างๆ ได้แก่ denial-of-service (DoS) , Remote Code Execution และ Unauthorized access ซึ่งหนึ่งในช่องโหว่เหล่านี้เป็นช่องโหว่ระดับ Critical ที่ CVE-2024-39884 เป็นช่องโหว่การเปิดเผย source code
ช่องโหว่ CVE-2024-39884 เกิดจากช่องโหว่ในการจัดการการกำหนดค่า content-type แบบเก่าใน Apache HTTP Server เวอร์ชัน 2.4.60 เมื่อใช้ directive “AddType” และการตั้งค่าที่คล้ายกันภายใต้เงื่อนไขบางประการ อาจทำให้เปิดเผย source code ของไฟล์ที่ต้องถูกประมวลผล เช่น สคริปต์เซิร์ฟเวอร์และไฟล์การกำหนดค่า ทำให้ผู้โจมตีสามารถเห็นข้อมูลสำคัญในไฟล์เหล่านั้นได้ ทาง Apache แนะนำให้ผู้ใช้ทำการอัปเดตเป็นเวอร์ชัน 2.4.61 เพื่อแก้ไขปัญหาดังกล่าว
