Objavljen je Apache HTTP server 2.4.49 koji uvodi 27 promjena i eliminira 5 ranjivosti:
- CVE-2021-33193 - mod_http2 je podložan novoj varijanti napada "HTTP Request Smuggling", koji omogućava da se slanjem posebno dizajniranih zahtjeva klijenata uvuče u sadržaj zahtjeva drugih korisnika koji se prenose putem mod_proxy (npr. možete postići umetanje zlonamjernog JavaScript koda u sesiju drugog korisnika stranice) .
- CVE-2021-40438 je SSRF (Server Side Request Forgery) ranjivost u mod_proxy, koja omogućava da se zahtjev preusmjeri na server koji je odabrao napadač slanjem posebno kreiranog zahtjeva uri-path.
- CVE-2021-39275 - Prelivanje bafera u funkciji ap_escape_quotes. Ranjivost je označena kao benigna jer svi standardni moduli ne prosljeđuju vanjske podatke ovoj funkciji. No, teoretski je moguće da postoje moduli treće strane preko kojih se može izvršiti napad.
- CVE-2021-36160 - Čitanje izvan granica u modulu mod_proxy_uwsgi uzrokuje pad.
- CVE-2021-34798 - NULL dereferenca pokazivača koja uzrokuje pad procesa prilikom obrade posebno kreiranih zahtjeva.
Najznačajnije promjene koje nisu vezane za sigurnost su:
- Dosta internih promjena u mod_ssl. Postavke “ssl_engine_set”, “ssl_engine_disable” i “ssl_proxy_enable” su premještene sa mod_ssl na glavno punjenje (jezgro). Moguće je koristiti alternativne SSL module za zaštitu konekcija preko mod_proxy. Dodata je mogućnost evidentiranja privatnih ključeva, koji se mogu koristiti u wireshark-u za analizu šifriranog prometa.
- U mod_proxy, raščlanjivanje putanja unix socketa proslijeđenih u “proxy:” URL je ubrzano.
- Proširene su mogućnosti modula mod_md, koji se koristi za automatizaciju prijema i održavanja certifikata korištenjem ACME (Automatic Certificate Management Environment) protokola. Dozvoljeno je okružiti domene navodnicima i pružio podršku za tls-alpn-01 za imena domena koja nisu povezana s virtuelnim hostovima.
- Dodan parametar StrictHostCheck, koji zabranjuje navođenje nekonfiguriranih imena hostova među argumentima liste „dozvoljeni“.
izvor: opennet.ru