Apache HTTP ΡΡΡΠ²ΡΡΡΡ 2.4.49 Π±Π΅ΡΠ΅ ΠΏΡΡΠ½Π°Ρ, Π²ΡΠ²Π΅ΠΆΠ΄Π°ΠΉΠΊΠΈ 27 ΠΏΡΠΎΠΌΠ΅Π½ΠΈ ΠΈ Π΅Π»ΠΈΠΌΠΈΠ½ΠΈΡΠ°ΠΉΠΊΠΈ 5 ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ:
- CVE-2021-33193 - mod_http2 Π΅ ΠΏΠΎΠ΄Π°ΡΠ»ΠΈΠ² Π½Π° Π½ΠΎΠ² Π²Π°ΡΠΈΠ°Π½Ρ Π½Π° Π°ΡΠ°ΠΊΠ°ΡΠ° "HTTP Request Smuggling", ΠΊΠΎΡΡΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° ΡΡΠ΅Π· ΠΈΠ·ΠΏΡΠ°ΡΠ°Π½Π΅ Π½Π° ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ ΠΏΡΠΎΠ΅ΠΊΡΠΈΡΠ°Π½ΠΈ ΠΊΠ»ΠΈΠ΅Π½ΡΡΠΊΠΈ Π·Π°ΡΠ²ΠΊΠΈ Π΄Π° ΡΠ΅ Π²ΠΊΠ»ΠΈΠ½ΠΈ Π² ΡΡΠ΄ΡΡΠΆΠ°Π½ΠΈΠ΅ΡΠΎ Π½Π° Π·Π°ΡΠ²ΠΊΠΈ ΠΎΡ Π΄ΡΡΠ³ΠΈ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈ, ΠΏΡΠ΅Π΄Π°Π΄Π΅Π½ΠΈ ΡΡΠ΅Π· mod_proxy (Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ, ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΠΏΠΎΡΡΠΈΠ³Π½Π΅ΡΠ΅ Π²ΠΌΡΠΊΠ²Π°Π½Π΅ Π½Π° Π·Π»ΠΎΠ½Π°ΠΌΠ΅ΡΠ΅Π½ JavaScript ΠΊΠΎΠ΄ Π² ΡΠ΅ΡΠΈΡΡΠ° Π½Π° Π΄ΡΡΠ³ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π» Π½Π° ΡΠ°ΠΉΡΠ°).
- CVE-2021-40438 Π΅ SSRF (Server Side Request Forgery) ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π² mod_proxy, ΠΊΠΎΡΡΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π·Π°ΡΠ²ΠΊΠ°ΡΠ° Π΄Π° Π±ΡΠ΄Π΅ ΠΏΡΠ΅Π½Π°ΡΠΎΡΠ΅Π½Π° ΠΊΡΠΌ ΡΡΡΠ²ΡΡ, ΠΈΠ·Π±ΡΠ°Π½ ΠΎΡ Π°ΡΠ°ΠΊΡΠ²Π°ΡΠΈΡ ΡΡΠ΅Π· ΠΈΠ·ΠΏΡΠ°ΡΠ°Π½Π΅ Π½Π° ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ ΠΈΠ·ΡΠ°Π±ΠΎΡΠ΅Π½Π° Π·Π°ΡΠ²ΠΊΠ° Π·Π° uri-path.
- CVE-2021-39275 - ΠΡΠ΅ΠΏΡΠ»Π²Π°Π½Π΅ Π½Π° Π±ΡΡΠ΅ΡΠ° Π²ΡΠ² ΡΡΠ½ΠΊΡΠΈΡΡΠ° ap_escape_quotes. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΠΌΠ°ΡΠΊΠΈΡΠ°Π½Π° ΠΊΠ°ΡΠΎ Π΄ΠΎΠ±ΡΠΎΠΊΠ°ΡΠ΅ΡΡΠ²Π΅Π½Π°, ΡΡΠΉ ΠΊΠ°ΡΠΎ Π²ΡΠΈΡΠΊΠΈ ΡΡΠ°Π½Π΄Π°ΡΡΠ½ΠΈ ΠΌΠΎΠ΄ΡΠ»ΠΈ Π½Π΅ ΠΏΡΠ΅Π΄Π°Π²Π°Ρ Π²ΡΠ½ΡΠ½ΠΈ Π΄Π°Π½Π½ΠΈ ΠΊΡΠΌ ΡΠ°Π·ΠΈ ΡΡΠ½ΠΊΡΠΈΡ. ΠΠΎ ΡΠ΅ΠΎΡΠ΅ΡΠΈΡΠ½ΠΎ Π΅ Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎ Π΄Π° ΠΈΠΌΠ° ΠΌΠΎΠ΄ΡΠ»ΠΈ Π½Π° ΡΡΠ΅ΡΠΈ ΡΡΡΠ°Π½ΠΈ, ΡΡΠ΅Π· ΠΊΠΎΠΈΡΠΎ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΈΠ·Π²ΡΡΡΠΈ Π°ΡΠ°ΠΊΠ°.
- CVE-2021-36160 - Π§Π΅ΡΠ΅Π½ΠΈΡ ΠΈΠ·Π²ΡΠ½ Π³ΡΠ°Π½ΠΈΡΠΈΡΠ΅ Π² ΠΌΠΎΠ΄ΡΠ»Π° mod_proxy_uwsgi, ΠΏΡΠΈΡΠΈΠ½ΡΠ²Π°ΡΠΈ ΡΡΠΈΠ².
- CVE-2021-34798 β ΠΠ΅ΡΠ΅ΡΠ΅ΡΠ΅Π½ΡΠΈΡ Π½Π° NULL ΡΠΊΠ°Π·Π°ΡΠ΅Π», ΠΏΡΠΈΡΠΈΠ½ΡΠ²Π°ΡΠ° ΡΡΠΈΠ² Π½Π° ΠΏΡΠΎΡΠ΅ΡΠ° ΠΏΡΠΈ ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ ΡΡΠ·Π΄Π°Π΄Π΅Π½ΠΈ Π·Π°ΡΠ²ΠΊΠΈ.
ΠΠ°ΠΉ-Π·Π°Π±Π΅Π»Π΅ΠΆΠΈΡΠ΅Π»Π½ΠΈΡΠ΅ ΠΏΡΠΎΠΌΠ΅Π½ΠΈ, ΠΊΠΎΠΈΡΠΎ Π½Π΅ ΡΠ° ΡΠ²ΡΡΠ·Π°Π½ΠΈ ΡΡΡ ΡΠΈΠ³ΡΡΠ½ΠΎΡΡΡΠ°:
- ΠΠΎΡΡΠ° Π²ΡΡΡΠ΅ΡΠ½ΠΈ ΠΏΡΠΎΠΌΠ΅Π½ΠΈ Π² mod_ssl. ΠΠ°ΡΡΡΠΎΠΉΠΊΠΈΡΠ΅ βssl_engine_setβ, βssl_engine_disableβ ΠΈ βssl_proxy_enableβ ΡΠ° ΠΏΡΠ΅ΠΌΠ΅ΡΡΠ΅Π½ΠΈ ΠΎΡ mod_ssl ΠΊΡΠΌ ΠΎΡΠ½ΠΎΠ²Π½ΠΎΡΠΎ ΠΏΡΠ»Π½Π΅Π½Π΅ (ΡΠ΄ΡΠΎ). ΠΡΠ·ΠΌΠΎΠΆΠ½ΠΎ Π΅ Π΄Π° ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Ρ Π°Π»ΡΠ΅ΡΠ½Π°ΡΠΈΠ²Π½ΠΈ SSL ΠΌΠΎΠ΄ΡΠ»ΠΈ Π·Π° Π·Π°ΡΠΈΡΠ° Π½Π° Π²ΡΡΠ·ΠΊΠΈΡΠ΅ ΡΡΠ΅Π· mod_proxy. ΠΠΎΠ±Π°Π²Π΅Π½Π° Π΅ Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ Π·Π° ΡΠ΅Π³ΠΈΡΡΡΠΈΡΠ°Π½Π΅ Π½Π° ΡΠ°ΡΡΠ½ΠΈ ΠΊΠ»ΡΡΠΎΠ²Π΅, ΠΊΠΎΠΈΡΠΎ ΠΌΠΎΠ³Π°Ρ Π΄Π° ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Ρ Π² wireshark Π·Π° Π°Π½Π°Π»ΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° ΠΊΡΠΈΠΏΡΠΈΡΠ°Π½ ΡΡΠ°ΡΠΈΠΊ.
- Π mod_proxy ΠΏΠ°ΡΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° ΠΏΡΡΠΈΡΠ°ΡΠ° Π½Π° unix ΡΠΎΠΊΠ΅ΡΠΈΡΠ΅, ΠΏΡΠ΅Π΄Π°Π΄Π΅Π½ΠΈ Π² URL Π°Π΄ΡΠ΅ΡΠ° βproxy:β, Π΅ ΡΡΠΊΠΎΡΠ΅Π½ΠΎ.
- Π Π°Π·ΡΠΈΡΠ΅Π½ΠΈ ΡΠ° Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΠΈΡΠ΅ Π½Π° ΠΌΠΎΠ΄ΡΠ»Π° mod_md, ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½ Π·Π° Π°Π²ΡΠΎΠΌΠ°ΡΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° ΠΏΠΎΠ»ΡΡΠ°Π²Π°Π½Π΅ΡΠΎ ΠΈ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ°ΡΠ° Π½Π° ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠΈ Ρ ΠΏΠΎΠΌΠΎΡΡΠ° Π½Π° ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Π° ACME (Automatic Certificate Management Environment). Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΎ Π΅ ΠΎΠ³ΡΠ°ΠΆΠ΄Π°Π½Π΅ΡΠΎ Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ Ρ ΠΊΠ°Π²ΠΈΡΠΊΠΈ ΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²ΠΈ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ° Π·Π° tls-alpn-01 Π·Π° ΠΈΠΌΠ΅Π½Π° Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ, ΠΊΠΎΠΈΡΠΎ Π½Π΅ ΡΠ° ΡΠ²ΡΡΠ·Π°Π½ΠΈ Ρ Π²ΠΈΡΡΡΠ°Π»Π½ΠΈ Ρ ΠΎΡΡΠΎΠ²Π΅.
- ΠΠΎΠ±Π°Π²Π΅Π½ Π΅ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡΡΡ StrictHostCheck, ΠΊΠΎΠΉΡΠΎ Π·Π°Π±ΡΠ°Π½ΡΠ²Π° ΡΠΊΠ°Π·Π²Π°Π½Π΅ΡΠΎ Π½Π° Π½Π΅ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠΈΡΠ°Π½ΠΈ ΠΈΠΌΠ΅Π½Π° Π½Π° Ρ ΠΎΡΡΠΎΠ²Π΅ ΡΡΠ΅Π΄ Π°ΡΠ³ΡΠΌΠ΅Π½ΡΠΈΡΠ΅ Π½Π° ΡΠΏΠΈΡΡΠΊΠ° βΡΠ°Π·ΡΠ΅ΡΠ°Π²Π°Π½Π΅β.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: opennet.ru