የ Apache HTTP አገልጋይ 2.4.49 ተለቋል፣ 27 ለውጦችን በማስተዋወቅ እና 5 ተጋላጭነቶችን ያስወግዳል፡
- CVE-2021-33193 - mod_http2 ለአዲሱ የ"HTTP ጥያቄ ኮንትሮባንድ" ጥቃት የተጋለጠ ነው፣ ይህም በተለየ መልኩ የተነደፉ የደንበኛ ጥያቄዎችን በመላክ በ mod_proxy በኩል የሚተላለፉ የሌሎች ተጠቃሚዎችን የጥያቄ ይዘቶች ውስጥ ለመግባት ያስችላል (ለምሳሌ፣ በሌላ የጣቢያው ተጠቃሚ ክፍለ ጊዜ ውስጥ ተንኮል አዘል የጃቫ ስክሪፕት ኮድ ማስገባት ይችላሉ)።
- CVE-2021-40438 በሞድ_ፕሮክሲ ውስጥ የኤስኤስአርኤፍ (የአገልጋይ ወገን ጥያቄ ፎርጀሪ) ተጋላጭነት ነው፣ ይህም ጥያቄው በአጥቂው ወደ ተመረጠ አገልጋይ እንዲዛወር ያስችለዋል ልዩ የዩሪ መንገድ ጥያቄ በመላክ።
- CVE-2021-39275 - በap_escape_quotes ተግባር ውስጥ ቋት ሞልቷል። ሁሉም መደበኛ ሞጁሎች ውጫዊ ውሂብን ወደዚህ ተግባር ስለማያስተላልፉ ተጋላጭነቱ ጥሩ ተብሎ ምልክት ተደርጎበታል። ነገር ግን በንድፈ ሀሳብ ጥቃት ሊፈፀምባቸው የሚችሉ የሶስተኛ ወገን ሞጁሎች ሊኖሩ ይችላሉ።
- CVE-2021-36160 - ከገደብ ውጪ በ mod_proxy_uwsgi ሞጁል ውስጥ ብልሽት የሚፈጥር ይነበባል።
- CVE-2021-34798 - NULL ጠቋሚ ማመሳከሪያ በተለየ መልኩ የተሰሩ ጥያቄዎችን ሲሰራ የሂደት ብልሽት ያስከትላል።
በጣም ታዋቂዎቹ የደህንነት ያልሆኑ ለውጦች የሚከተሉት ናቸው
- በ mod_ssl ውስጥ በጣም ብዙ የውስጥ ለውጦች። ቅንጅቶቹ "ssl_engine_set", "ssl_engine_disable" እና "ssl_proxy_enable" ከ mod_ssl ወደ ዋናው መሙላት (ኮር) ተወስደዋል. በ mod_proxy በኩል ግንኙነቶችን ለመጠበቅ አማራጭ SSL ሞጁሎችን መጠቀም ይቻላል. የተመሰጠረ ትራፊክን ለመተንተን በWireshark ውስጥ ጥቅም ላይ ሊውሉ የሚችሉ የግል ቁልፎችን የመግባት ችሎታ ታክሏል።
- በMod_proxy ውስጥ፣ ወደ "proxy:" URL የተላለፉ የዩኒክስ ሶኬት ዱካዎችን መፈተሽ ተፋጠነ።
- የኤሲኤምኢ (አውቶማቲክ ሰርተፍኬት አስተዳደር አካባቢ) ፕሮቶኮልን በመጠቀም ሰርተፍኬቶችን መቀበል እና ማቆየት በራስ ሰር ለመስራት የሚያገለግለው የ mod_md ሞጁል አቅም ተዘርግቷል። ጎራዎችን በጥቅሶች እንዲከበብ ተፈቅዶለታል እና ለ tls-alpn-01 ከቨርቹዋል አስተናጋጆች ጋር ላልተገናኙ የጎራ ስሞች ድጋፍ ሰጥቷል።
- በ"ፍቀድ" ዝርዝር ነጋሪ እሴቶች መካከል ያልተዋቀሩ የአስተናጋጅ ስሞችን መግለጽ የሚከለክለው የStrictHostCheck መለኪያ ታክሏል።
ምንጭ: opennet.ru