ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > Apache 2.4.52 http አገልጋይ ልቀት ከ mod_lua ቋት የትርፍ ፍሰት ተስተካክሏል።

Apache 2.4.52 http አገልጋይ ልቀት ከ mod_lua ቋት የትርፍ ፍሰት ተስተካክሏል።

የ Apache HTTP አገልጋይ 2.4.52 ተለቋል፣ 25 ለውጦችን በማስተዋወቅ እና 2 ተጋላጭነቶችን ያስወግዳል፡

  • CVE-2021-44790 የባለብዙ ክፍል ጥያቄዎችን ሲተነተን የሚፈጠረው በ mod_lua ውስጥ ያለ ቋት ሞልቷል። ተጋላጭነቱ የጠያቂውን አካል ለመተንተን የሉአ ስክሪፕቶች r:parsebody() ተግባር ብለው የሚጠሩባቸው ውቅሮች ላይ ተጽእኖ ያሳድራል፣ ይህም አጥቂ በልዩ ሁኔታ የተዘጋጀ ጥያቄ በመላክ ቋት እንዲሞላ ያስችለዋል። የብዝበዛ ማስረጃ እስካሁን አልታወቀም፣ ነገር ግን ችግሩ በአገልጋዩ ላይ ያለውን ኮድ እንዲተገበር ሊያደርግ ይችላል።
  • CVE-2021-44224 - SSRF (የአገልጋይ ጎን ጥያቄ ፎርጀሪ) በ mod_proxy ውስጥ ተጋላጭነት ፣ ይህም በ “ProxyRequests on” መቼት ውስጥ በልዩ ሁኔታ በተዘጋጀ ዩአርአይ ጥያቄ አማካይነት ወደ ሌላ ተቆጣጣሪ የሚቀርብ ጥያቄን ለማሳካት ያስችላል። በUnix Domain Socket በኩል ግንኙነቶችን የሚቀበል አገልጋይ። ጉዳዩ ባዶ ጠቋሚን ለመጥቀስ ሁኔታዎችን በመፍጠር ብልሽትን ለመፍጠር ጥቅም ላይ ሊውል ይችላል። ችግሩ ከስሪት 2.4.7 ጀምሮ የApache httpd ስሪቶችን ይነካል።

በጣም ታዋቂዎቹ የደህንነት ያልሆኑ ለውጦች የሚከተሉት ናቸው

  • በOpenSSL 3 ቤተ-መጽሐፍት ወደ mod_ssl ለመገንባት ድጋፍ ታክሏል።
  • በራስ-ኮንፍ ስክሪፕቶች ውስጥ የተሻሻለ የSSL ቤተ-መጽሐፍት ማግኘት።
  • በMod_proxy ውስጥ፣ ለመሿለኪያ ፕሮቶኮሎች፣ የ"SetEnv proxy-nohalfclose" መለኪያን በማቀናበር የግማሽ-ቅርብ TCP ግንኙነቶችን አቅጣጫ መቀየርን ማሰናከል ይቻላል።
  • ዩአርአይ ለመወከል ያልታሰቡ ተጨማሪ ቼኮች የ http/https እቅድ ይይዛሉ፣ እና ለፕሮክሲነት የታቀዱት የአስተናጋጅ ስም ይይዛሉ።
  • mod_proxy_connect እና mod_proxy የሁኔታ ኮድ ለደንበኛው ከተላከ በኋላ እንዲቀየር አይፈቅዱም።
  • ጥያቄዎችን ከተቀበለ በኋላ መካከለኛ ምላሾችን በ "ጠብቅ: 100-ቀጥል" ራስጌ, ውጤቱ አሁን ካለው የጥያቄው ሁኔታ ይልቅ የ "100 ቀጥል" ሁኔታን እንደሚያመለክት ያረጋግጡ.
  • mod_dav ንብረቱን ሲያመነጭ ሁለቱንም የሰነድ አካላት እና የንብረት አካላት ግምት ውስጥ ማስገባት ለሚያስፈልገው የካልዳቪ ቅጥያዎች ድጋፍን ይጨምራል። ታክሏል አዲስ ተግባራት dav_validate_root_ns () dav_find_child_ns () dav_find_next_ns () dav_find_attr_ns () እና dav_find_attr () ከሌሎች ሞጁሎች ሊጠራ ይችላል.
  • በmpm_event ውስጥ፣ የአገልጋይ ጭነት መጨመር በኋላ የስራ ፈት ልጅ ሂደቶችን የማስቆም ችግር ተፈቷል።
  • Mod_http2 የMaxRequestsPerChild እና MaxConnectionsPerChild ገደቦችን ሲይዙ ትክክለኛ ያልሆነ ባህሪ ያስከተሉ ቋሚ የመመለሻ ለውጦች አሉት።
  • የኤሲኤምኢ (አውቶማቲክ ሰርተፍኬት አስተዳደር አካባቢ) ፕሮቶኮልን በመጠቀም የምስክር ወረቀቶችን መቀበል እና ማቆየት በራስ ሰር ለመስራት የሚያገለግለው የ mod_md ሞጁል አቅም ተዘርግቷል፡-
    • የMDexternalAccountBinding መመሪያን በመጠቀም የነቃ ለACME ውጫዊ መለያ ማሰሪያ (EAB) ድጋፍ ታክሏል። በዋናው የአገልጋይ ውቅር ፋይል ውስጥ የማረጋገጫ መለኪያዎችን ከማጋለጥ በማስቀረት የEAB እሴቶች ከውጫዊ JSON ፋይል ሊዋቀሩ ይችላሉ።
    • የ'MDCertificateAuthority' መመሪያ የዩአርኤል ግቤት http/https ወይም አስቀድሞ ከተገለጹት ስሞች ውስጥ አንዱን ('LetsEncrypt'፣ 'LetsEncrypt-Test'፣ 'Buypass' እና 'Buypass-Test') መያዙን ያረጋግጣል።
    • በክፍሉ ውስጥ የMDContactEmail መመሪያን ለመግለጽ ተፈቅዷል .
    • የግል ቁልፍ ሲጫን የሚፈጠረውን የማህደረ ትውስታ ፍሰትን ጨምሮ በርካታ ሳንካዎች ተስተካክለዋል።

ምንጭ: opennet.ru

አስተያየት ያክሉ