Apache Software Foundation, 2.4.0’dan 2.4.63’e yayılan sürümleri etkileyen sekiz kritik güvenlik açıklığını ele alan Apache HTTP Server sürüm 2.4.64’ü yayınladı.
Bu son güncelleme, HTTP yanıt bölme, sunucu tarafı istek ambalge (SSRF) ve sunucu güvenliğini ve performansını potansiyel olarak tehlikeye atabilecek hizmet güvenlik açıkları dahil olmak üzere bir dizi sorunu çözmektedir.
Key Takeaways
1. Apache HTTP Server 2.4.64 fixes eight vulnerabilities across all 2.4.x versions, including HTTP response splitting and SSRF flaws.
2. SSL/TLS patches resolve access control bypass, TLS upgrade hijacking, and log injection issues.
3. SSRF fixes address mod_proxy exploitation and Windows NTLM hash leakage via UNC paths.
4. HTTP/2 DoS vulnerabilities in proxy configs and memory exhaustion require immediate upgrade.
HTTP yanıtı ve SSL/TLS güvenlik kusurları
Bu sürümde yamalanan en önemli güvenlik açığı, Apache HTTP sunucusunun çekirdeğinde sağlayan bir HTTP tepkisi olan CVE-2024-42516’dır.
Bu kusur, HTTP yanıtlarını bölmek için barındırılan veya proxy uygulamaların içerik tipi yanıt başlıklarını manipüle edebilen saldırganlara izin verir.
Özellikle, bu güvenlik açığı daha önce CVE-2023-38709 olarak tanımlanmıştı, ancak Apache HTTP Server 2.4.59’da yer alan yama sorunu yeterince ele alamadı.
İki ilave SSL/TLS ile ilgili güvenlik açıkları çözülmüştür. CVE-2025-23048, Apache HTTP sunucusu 2.4.35 ila 2.4.63’teki MOD_SSL yapılandırmalarını etkileyen bir Orta-Tersinli Erişim Kontrol Bypass’ı temsil eder.
Bu güvenlik açığı, güvenilir istemcilerin farklı güvenilir istemci sertifikası yapılandırmalarına sahip çok yönlü ana bilgisayar ortamlarında TLS 1.3 oturum yeniden başlamasını kullanarak erişim kontrollerini atlamalarını sağlar.
İkinci SSL sorunu olan CVE-2025-49812, TLS yükseltmelerini etkinleştirmek için “SSlengine İsteğe Bağlı” kullanarak yapılandırmaları etkiler ve ortadaki adam saldırganlarının TLS yükseltme saldırıları yoluyla HTTP oturumlarını kaçırmasına izin verir.
Ele alınan bir diğer güvenlik kaygısı, kullanıcı tarafından sağlanan verilerin MOD_SSL’de yetersiz kaçmasını içeren CVE-2024-47252’dir.
Bu düşük şiddetli güvenlik açığı, güvenilmez SSL/TLS istemcilerinin, SSL_TLS_SNI gibi mod_ssl değişkenlerini günlüklendirmek için “%{varname} x” veya “%{varname} c” kullandığında kaçış karakterlerini günlük dosyalarına eklemesine izin verir.
Sunucu tarafı isteği Apgery kusurları
Apache HTTP Sunucusu 2.4.64, saldırganların sunucu isteklerini manipüle etmesini sağlayabilecek iki farklı SSRF güvenlik açığını çözer. CVE-2024-43204, HTTP istek değerlerini kullanarak içerik tipi başlıkları değiştirecek şekilde yapılandırılmış MOD_PROXY LOADED ve MOD_HEADERS ile yapılandırmaları etkiler.
Bu düşük şiddetli güvenlik açığı, saldırganların saldırgan kontrolündeki URL’lere giden proxy isteklerini göndermelerine izin verir, ancak beklenmedik bir yapılandırma senaryosu gerektirir.
İkinci SSRF güvenlik açığı olan CVE-2024-43394, özellikle Apache HTTP sunucusunun Windows yüklemelerini hedefler.
Bu orta yüzlük kusuru, Mod_rewrite veya UNC yolları aracılığıyla doğrulanmamış istek girişini işleyen Apache ifadeleri aracılığıyla kötü amaçlı sunuculara potansiyel NTLM karma sızıntısını sağlar.
Apache HTTP Sunucu Projesi, UNC yollarıyla ilgili gelecekteki SSRF güvenlik açığı raporlarını kabul etmek için daha katı standartlar uygulama planlarını açıkladı.
Hizmet ve Performans Sorunları Reddetme
CVE-2025-49630, ProxyPreserveHost etkinken HTTP/2 arka uçları için ters proxy yapılandırmalarını etkiler ve güvenilmeyen istemcilerin mod_proxy_http2’deki iddiaları tetiklemesine ve hizmet kesintisine neden olmasına izin verir.
CVE-2025-53020, HTTP/2 uygulamalarında Apache HTTP sunucusu 2.4.17 ila 2.4.63’ü etkileyen HTTP/2 uygulamalarında belleğe bağlı bir hizmet reddi güvenlik açığını temsil eder.
Bu ılımlı şiddetli sorunu, etkili ömürden sonra belleğin geç serbest bırakılmasını içerir ve potansiyel olarak bellek tükenme saldırılarına yol açar.
| CVE | Tanım | Şiddet |
| CVE-2024-42516 | HTTP Yanıt Bölme | Ilıman |
| CVE-2024-43204 | Mod_headers ile SSRF İçerik tipi başlığı ayarlayın | Düşük |
| CVE-2024-43394 | UNC yolları nedeniyle pencerelerde SSRF | Ilıman |
| CVE-2024-47252 | Kullanıcı tarafından sağlanan verilerin mod_ssl’de yetersiz kaçış | Düşük |
| CVE-2025-23048 | Oturum yeniden başlamasıyla mod_ss erişim kontrol bypass | Ilıman |
| CVE-2025-49630 | MOD_PROXY_HTTP2 Hizmet Reddi Saldırısı | Düşük |
| CVE-2025-49812 | MOD_SSL TLS Yükseltme Saldırısı HTTP Oturumuna İhtiyacı Vaz | Ilıman |
| CVE-2025-53020 | Bellek artışı ile HTTP/2 DOS | Ilıman |
Paderborn Üniversitesi ve Ruhr Üniversitesi Bochum ve çeşitli güvenlik firmaları da dahil olmak üzere birçok kurumdan güvenlik araştırmacıları bu güvenlik açıklarının belirlenmesine katkıda bulundu.
Apache Software Foundation, etkilenen sürümleri çalıştıran tüm kullanıcılar için 2.4.64 sürümüne anında yükseltme önerir.
Sistem yöneticileri, bu güncellemeye, özellikle de hassas verileri işleyen veya bu güvenlik açıklarının kullanılabileceği yüksek güvenlikli bağlamlarda çalışan üretim ortamları için öncelik vermelidir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi