| Summary | A regression in the core of Apache HTTP Server 2.4.60 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted. Users are recommended to upgrade to version 2.4.61, which fixes this issue. |
|---|---|
| Publication Date | July 4, 2024, 6:15 p.m. |
| Registration Date | July 4, 2024, 8 p.m. |
| Last Update | Nov. 21, 2024, 6:28 p.m. |
| Title | Apache HTTP Server 2.4 に対するアップデート(CVE-2024-39884) |
|---|---|
| Summary | The Apache Software Foundation から、<a href="https://jvn.jp/vu/JVNVU97151944/"target="blank">Apache HTTP Server 2.4.60</a> のコアで発生した不具合(CVE-2024-39884)に対応した Apache HTTP Server 2.4.61 が公開されました。 |
| Possible impacts | ファイルが間接的に要求される場合に、「AddType」や類似の設定に基づいたコンテンツタイプの一部が無視され、結果としてローカルコンテンツのソースコードが窃取される可能性があります。例えば、PHP スクリプトが解釈されず、平文のソースコードとして窃取されてしまう可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| Publication Date | July 4, 2024, midnight |
| Registration Date | July 5, 2024, 12:41 p.m. |
| Last Update | July 19, 2024, 11:40 a.m. |
| Apache Software Foundation |
| Apache HTTP Server 2.4.60 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2024年07月05日] 掲載 | July 5, 2024, 11:51 a.m. |
| 2 | [2024年07月19日] 参考情報:JVN (JVNVU#99133886) を追加 |
July 19, 2024, 11:01 a.m. |