上周Apache基金会发布2.4.61版网页服务器系统HTTP Server,主要是修补一项漏洞CVE-2024-39884,这项漏洞带来的影响,是在handlers组态通过AddType设置时,有可能导致源码信息泄漏的情况,在2.4.60版以前的HTTP Server都可能会曝险。
这项漏洞发生的原因,在于此网页服务器系统内核有个递归(regression)处理流程中,会忽略采用的部分旧版内容类型(content-type)。在AddType或类似的组态环境里,某些间接请求文件的情况,就有可能导致本机源码泄露的情况。
关于这项漏洞的严重程度,Apache基金会先将其列为高风险(Important)层级,但目前尚未公布CVSS风险评分。