ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Apache 2.4.49 http server release nga adunay mga kahuyangan nga naayo

Apache 2.4.49 http server release nga adunay mga kahuyangan nga naayo

Ang Apache 2.4.49 HTTP server release na-publish na, nga nagpaila sa 27 ka kausaban ug nag-ayo sa 5 ka mga kahuyangan:

  • CVE-2021-33193 - ang mod_http2 dali nga madala sa usa ka bag-ong variant sa "HTTP Request Smuggling" nga pag-atake, nga nagtugot, pinaagi sa pagpadala sa espesyal nga gidisenyo nga mga hangyo sa kliyente, sa pag-wedge sa kaugalingon ngadto sa sulod sa mga hangyo gikan sa ubang mga tiggamit nga gipasa pinaagi sa mod_proxy (pananglitan, mahimo nimong makab-ot ang pagsal-ot sa malisyosong JavaScript code ngadto sa sesyon sa laing user sa site) .
  • Ang CVE-2021-40438 usa ka kahuyang sa SSRF (Server Side Request Forgery) sa mod_proxy, nga nagtugot sa hangyo nga ma-redirect sa usa ka server nga gipili sa tig-atake pinaagi sa pagpadala sa usa ka espesyal nga gihimo nga hangyo sa uri-path.
  • CVE-2021-39275 - Buffer overflow sa ap_escape_quotes function. Ang pagkahuyang gimarkahan nga dili maayo tungod kay ang tanan nga sumbanan nga mga module dili mopasa sa gawas nga datos sa kini nga function. Apan posible nga sa teoriya nga adunay mga module sa ikatulo nga partido diin mahimo ang usa ka pag-atake.
  • CVE-2021-36160 - Gawas sa mga utlanan mabasa sa mod_proxy_uwsgi module hinungdan sa pagkahagsa.
  • CVE-2021-34798 - Usa ka NULL pointer dereference hinungdan sa pagkahagsa sa proseso sa pagproseso sa mga hangyo nga espesyal nga gihimo.

Ang labing inila nga dili-seguridad nga mga pagbag-o mao ang:

  • Daghang mga internal nga pagbag-o sa mod_ssl. Ang mga setting nga "ssl_engine_set", "ssl_engine_disable" ug "ssl_proxy_enable" gibalhin gikan sa mod_ssl ngadto sa nag-unang pagpuno (kinauyokan). Posible nga mogamit ug alternatibong SSL modules aron mapanalipdan ang mga koneksyon pinaagi sa mod_proxy. Gidugang ang abilidad sa pag-log sa pribadong mga yawe, nga magamit sa wireshark aron pag-analisar sa naka-encrypt nga trapiko.
  • Sa mod_proxy, ang pag-parse sa unix socket paths nga gipasa sa "proxy:" URL gipaspasan.
  • Ang mga kapabilidad sa mod_md module, nga gigamit sa pag-automate sa resibo ug pagmentinar sa mga sertipiko gamit ang ACME (Automatic Certificate Management Environment) protocol, gipalapdan. Gitugotan nga palibutan ang mga dominyo nga adunay mga kinutlo sa ug naghatag suporta alang sa tls-alpn-01 alang sa mga ngalan sa domain nga dili kauban sa mga virtual host.
  • Gidugang ang parameter nga StrictHostCheck, nga nagdili sa pagtino sa wala ma-configure nga mga hostname taliwala sa mga argumento sa lista nga "gitugotan".

Source: opennet.ru

Idugang sa usa ka comment