Vulnerabilità in Apache HTTP Server

Segnalata la presenza di due vulnerabilità di sicurezza in Apache HTTP Server, il popolare server web open source sviluppato da Apache Software Foundation.

Entrambe le vulnerabilità sono state classificate con un livello di gravità "alta".
La prima vulnerabilità, identificata come CVE-2024-37434, riguarda un problema di gestione della memoria nella funzionalità mod_proxy_ajp di Apache HTTP Server. Se sfruttata, potrebbe consentire a un attaccante di causare un denial of service o potenzialmente eseguire codice arbitrario.

La seconda vulnerabilità, identificata come CVE-2024-37435, riguarda un problema di overflow del buffer nella funzionalità mod_isapi. Anche in questo caso, lo sfruttamento potrebbe portare a un denial of service o all'esecuzione di codice arbitrario sul sistema interessato.

Le versioni di Apache HTTP Server interessate sono la 2.4.57, 2.4.58 e 2.4.59. Gli sviluppatori hanno rilasciato la versione 2.4.60 per risolvere queste vulnerabilità.

Fonte: CSIRT Italia