Издаване на http сървър на Apache 2.4.49 с коригирани уязвимости

Apache HTTP сървърът 2.4.49 беше пуснат, въвеждайки 27 промени и елиминирайки 5 уязвимости:

• CVE-2021-33193 - mod_http2 е податлив на нов вариант на атаката "HTTP Request Smuggling", която позволява чрез изпращане на специално проектирани клиентски заявки да се вклини в съдържанието на заявки от други потребители, предадени чрез mod_proxy (например, можете да постигнете вмъкване на злонамерен JavaScript код в сесията на друг потребител на сайта).
• CVE-2021-40438 е SSRF (Server Side Request Forgery) уязвимост в mod_proxy, която позволява заявката да бъде пренасочена към сървър, избран от атакуващия чрез изпращане на специално изработена заявка за uri-path.
• CVE-2021-39275 - Препълване на буфера във функцията ap_escape_quotes. Уязвимостта е маркирана като доброкачествена, тъй като всички стандартни модули не предават външни данни към тази функция. Но теоретично е възможно да има модули на трети страни, чрез които може да се извърши атака.
• CVE-2021-36160 - Четения извън границите в модула mod_proxy_uwsgi, причиняващи срив.
• CVE-2021-34798 – Дереференция на NULL указател, причиняваща срив на процеса при обработка на специално създадени заявки.

Най-забележителните промени, които не са свързани със сигурността:

• Доста вътрешни промени в mod_ssl. Настройките „ssl_engine_set“, „ssl_engine_disable“ и „ssl_proxy_enable“ са преместени от mod_ssl към основното пълнене (ядро). Възможно е да се използват алтернативни SSL модули за защита на връзките чрез mod_proxy. Добавена е възможност за регистриране на частни ключове, които могат да се използват в wireshark за анализиране на криптиран трафик.
• В mod_proxy парсването на пътищата на unix сокетите, предадени в URL адреса „proxy:“, е ускорено.
• Разширени са възможностите на модула mod_md, използван за автоматизиране на получаването и поддръжката на сертификати с помощта на протокола ACME (Automatic Certificate Management Environment). Разрешено е ограждането на домейни с кавички и предостави поддръжка за tls-alpn-01 за имена на домейни, които не са свързани с виртуални хостове.
• Добавен е параметърът StrictHostCheck, който забранява указването на неконфигурирани имена на хостове сред аргументите на списъка „разрешаване“.

Източник: opennet.ru