ProHoster > Blog > internet nuus > Apache 2.4.49 http-bedienervrystelling met kwesbaarhede opgelos

Apache 2.4.49 http-bedienervrystelling met kwesbaarhede opgelos

Die Apache HTTP-bediener 2.4.49 is vrygestel, wat 27 veranderinge bekendstel en 5 kwesbaarhede uitskakel:

  • CVE-2021-33193 - mod_http2 is vatbaar vir 'n nuwe variant van die "HTTP Request Smuggling"-aanval, wat dit moontlik maak om, deur spesiaal ontwerpte kliëntversoeke te stuur, homself in te wig in die inhoud van versoeke van ander gebruikers wat deur mod_proxy versend is (byvoorbeeld, jy kan die invoeging van kwaadwillige JavaScript-kode in die sessie van 'n ander gebruiker van die webwerf bereik).
  • CVE-2021-40438 is 'n SSRF (Server Side Request Forgery) kwesbaarheid in mod_proxy, wat toelaat dat die versoek herlei word na 'n bediener wat deur die aanvaller gekies is deur 'n spesiaal vervaardigde uri-pad versoek te stuur.
  • CVE-2021-39275 - Bufferoorloop in die ap_escape_quotes-funksie. Die kwesbaarheid word as goedaardig gemerk omdat alle standaardmodules nie eksterne data na hierdie funksie deurgee nie. Maar dit is teoreties moontlik dat daar derdeparty-modules is waardeur 'n aanval uitgevoer kan word.
  • CVE-2021-36160 - Buite-grens-lees in die mod_proxy_uwsgi-module wat 'n ineenstorting veroorsaak.
  • CVE-2021-34798 - 'n NULL-wyserverwysing wat 'n prosesongeluk veroorsaak wanneer spesiaal vervaardigde versoeke verwerk word.

Die mees noemenswaardige nie-sekuriteitsveranderinge:

  • Heelwat interne veranderinge in mod_ssl. Die instellings "ssl_engine_set", "ssl_engine_disable" en "ssl_proxy_enable" is van mod_ssl na die hoofvulsel (kern) geskuif. Dit is moontlik om alternatiewe SSL-modules te gebruik om verbindings via mod_proxy te beskerm. Bygevoeg die vermoë om private sleutels aan te meld, wat in wireshark gebruik kan word om geïnkripteer verkeer te ontleed.
  • In mod_proxy is die ontleding van unix-sokpaaie wat na die "proxy:"-URL oorgedra is, versnel.
  • Die vermoëns van die mod_md-module, wat gebruik word om die ontvangs en instandhouding van sertifikate te outomatiseer deur die ACME (Automatic Certificate Management Environment) protokol te gebruik, is uitgebrei. Dit word toegelaat om domeine met aanhalings in te omring en het ondersteuning verskaf vir tls-alpn-01 vir domeinname wat nie met virtuele gashere geassosieer word nie.
  • Het die StrictHostCheck-parameter bygevoeg, wat verbied om ongekonfigureerde gasheername onder die "toelaat" lysargumente te spesifiseer.

Bron: opennet.ru

Voeg 'n opmerking