漏洞描述:
Apache HTTP Server 2.4.60版本中存在一处解释冲突导致的信息泄露漏洞,漏洞原因在于ap_set_content_type函数未正确校验content-type的来源,在某些文件被间接请求的情况下,“AddType”和类似配置会导致本地内容的源代码泄露,例如,PHP脚本可能被直接提供而不是被解释执行。
修复建议:
正式防护方案:
官方已经发布了修复补丁,请立即更新到安全版本:
Apache HTTP Server >=2.4.61
下载链接:
https://httpd.apache.org/download.cgi