【已完成】apache发现安全漏洞，需要升级为最新的版本

面板、插件版本：宝塔： [url=]7.9.3[/url]apache_24='2.4.61'

系统版本：CentOS 7.9.2009 x86_64(Py3.7.9)

问题描述：apache发现安全漏洞，目前apache_24='2.4.61'是最新版本,要求升级到2.4.62以上的版本，如何实现升级面板里没有的apache

相关截图（日志、错误）：

您好，您说的漏洞是什么，方便截图一下您的说的漏洞吗，以及您买哪般的版本请升级到最新版本

我现在的是 apache_24='2.4.61'   希望升级到  apache_24='2.4.62' 以上

宝塔用户_wzmeur 发表于 2024-7-23 10:10
我现在的是 apache_24='2.4.61'   希望升级到  apache_24='2.4.62' 以上

目前面板没有2.4.62版本，您可以发一下您说的漏洞，并将您的面板升级到最新版本

目前我看apach 官方网站上的最新版本是  httpd-2.4.62，是否可以升级到   httpd-2.4.62  需要多长时间？

宝塔用户_wzmeur 发表于 2024-7-23 10:14
目前我看apach 官方网站上的最新版本是  httpd-2.4.62，是否可以升级到   httpd-2.4.62  需要多长时间？ ...

您好，面板上没有办法升级呢，这边会反馈一下这个升级的，您可以给我发一下您说的漏洞，我才能更好的说明原因

这是最新发现的漏洞，那边反馈升级需要多长时间呢？

宝塔用户_wzmeur 发表于 2024-7-23 10:42
这是最新发现的漏洞，那边反馈升级需要多长时间呢？

您好，这边无法给您一个确定的时间

是否有方法让我手动升级呢

宝塔用户_wzmeur 发表于 2024-7-23 10:57
是否有方法让我手动升级呢

暂时没有呢，非常抱歉

如果我能提供出这个漏洞，你们就能马上升级这个版本吗？

宝塔用户_wzmeur 发表于 2024-7-23 13:55
如果我能提供出这个漏洞，你们就能马上升级这个版本吗？

您好，这个是需要这边反馈的，具体时间这边也不清楚，如果是apache 的漏洞，apache官方是由修复补丁的，这边不知道您的漏洞是什么，是不是不受影响也不清楚

CVE-2024-40725 是 Apache HTTP Server 2.4.0 至 2.4.61版本中的一个高危漏洞,影响该mod proxy模块。此漏洞允许攻击者利用代理和后端服务器之间 HTTP 请求解析的差异执行 HTTP 请求走私攻击.   apache 的漏洞要升级到2.4.62要。已经发布了最新的修复补丁版本，需要你们升级啊

https://www.hnitns.com/index.php?id=267

关于Apache HTTP Server 信息泄露漏洞 (CVE-2024-40725)

2024年7月18日，网上公开披露了一个Apache HTTP Server 信息泄露漏洞(CVE-2024-40725)，Apache HTTP Server 是美国阿帕奇（Apache）基金会的一款开源网页服务器，ap_set_content_type_ex 函数用于设置请求的 content-type，请各位用户尽快安装漏洞补丁。

漏洞风险：受影响版本中在处理请求时未能正确应用子请求的信任标志，在某些间接请求文件的情况下，AddType及类似配置会导致本地脚本文件的内容泄露，攻击者可能利用该漏洞获取 php 等脚本语言源代码。修复版本通过将 ap_set_content_type_ex函数的参数由 AP_REQUEST_IS_TRUSTED_CT(r) 修改为 AP_REQUEST_IS_TRUSTED_CT(rr)，以此来使用子请求的信任标志而不是当前请求的信任标志。该修复补丁是对 CVE-2024-39884 漏洞修复的完善。

风险等级：高风险。

影响范围：

http_server@[2.4.60, 2.4.62)

apache2@影响所有版本

修复建议：

目前官方已有可更新版本，建议受影响用户升级至最新版本。

宝塔用户_wzmeur 发表于 2024-7-23 14:30
https://www.hnitns.com/index.php?id=267

关于Apache HTTP Server 信息泄露漏洞 (CVE-2024-40725)

您好，您这边更新一下apache