ProHoster > блог > Навіны інтэрнэту > Рэліз http-сервера Apache 2.4.49 з ухіленнем уразлівасцяў

Рэліз http-сервера Apache 2.4.49 з ухіленнем уразлівасцяў

Апублікаваны рэліз HTTP-сервера Apache 2.4.49, у якім прадстаўлена 27 змен і ўхілена 5 уразлівасцяў:

  • CVE-2021-33193 - схільнасць mod_http2 новаму варыянту нападу «HTTP Request Smuggling», які дазваляе праз адпраўку спецыяльна аформленых кліенцкіх запытаў укліньвацца ў змесціва запытаў іншых карыстальнікаў, якія перадаюцца праз mod_proxy (напрыклад, можна дамагчыся падстаноўкі шкоднаснага карыстальніка .
  • CVE-2021-40438 – SSRF-уразлівасць (Server Side Request Forgery) у mod_proxy, якая дазваляе праз адпраўку спецыяльна аформленага запыту uri-path дамагчыся перанакіраванні запыту на сервер, абраны атакавалым.
  • CVE-2021-39275 - перапаўненне буфера ў функцыі ap_escape_quotes. Уразлівасць пазначана як бяспечная, бо ўсе штатныя модулі не перадаюць вонкавыя дадзеныя ў дадзеную функцыю. Але тэарэтычна магчыма існуюць іншыя модулі, праз якія можна здзейсніць напад.
  • CVE-2021-36160 - чытанняў з вобласці па-за межамі буфера ў модулі mod_proxy_uwsgi, якое прыводзіць да краху.
  • CVE-2021-34798 - разнайменаванне нулявога паказальніка, якое прыводзіць да краху працэсу пры апрацоўцы спецыяльнай аформленых запытаў.

Найбольш прыкметныя змены, не звязаныя з бяспекай:

  • Досыць шмат унутраных змен у mod_ssl. З mod_ssl у асноўнае начынне (core) перанесены налады "ssl_engine_set", "ssl_engine_disable" і "ssl_proxy_enable". Дадзена магчымасць ужывання альтэрнатыўных SSL-модуляў для абароны злучэнняў праз mod_proxy. Дададзена магчымасць вядзення лога зачыненых ключоў, які можна выкарыстоўваць у wireshark для аналізу зашыфраванага трафіку.
  • У mod_proxy паскораны разбор шляхоў з unix socket, якія перадаюцца ў URL "proxy:".
  • Пашыраны магчымасці модуля mod_md, які ўжываецца для аўтаматызацыі атрымання і абслугоўвання сертыфікатаў з выкарыстаннем пратаколу ACME (Automatic Certificate Management Environment). Дазволена апраўленне двукоссямі даменаў у і прадстаўлена падтрымка tls-alpn-01 для даменных імёнаў, не прывязаных да віртуальных хастаў.
  • Дададзены параметр StrictHostCheck, які забараняе ўказанне не настроеных імёнаў хастоў у ліку аргументаў спісу «allow».

Крыніца: opennet.ru

Дадаць каментар