ProHoster > Blog > internetové zprávy > Vydání http serveru Apache 2.4.49 s opravenými chybami zabezpečení

Vydání http serveru Apache 2.4.49 s opravenými chybami zabezpečení

Byl vydán Apache HTTP server 2.4.49, který přináší 27 změn a odstraňuje 5 zranitelností:

  • CVE-2021-33193 - mod_http2 je náchylný k nové variantě útoku "HTTP Request Smuggling", který umožňuje odesláním speciálně navržených klientských požadavků vklínit se do obsahu požadavků od jiných uživatelů přenášených přes mod_proxy (např. můžete dosáhnout vložení škodlivého kódu JavaScript do relace jiného uživatele webu) .
  • CVE-2021-40438 je zranitelnost SSRF (Server Side Request Forgery) v mod_proxy, která umožňuje přesměrování požadavku na server vybraný útočníkem odesláním speciálně vytvořeného požadavku uri-path.
  • CVE-2021-39275 - Přetečení vyrovnávací paměti ve funkci ap_escape_quotes. Chyba zabezpečení je označena jako neškodná, protože všechny standardní moduly této funkci nepředávají externí data. Je ale teoreticky možné, že existují moduly třetích stran, přes které lze útok provést.
  • CVE-2021-36160 – Mimo hranice čtení v modulu mod_proxy_uwsgi, což způsobuje selhání.
  • CVE-2021-34798 – Dereference ukazatele NULL způsobující selhání procesu při zpracování speciálně vytvořených požadavků.

Nejpozoruhodnější změny netýkající se zabezpečení jsou:

  • Poměrně mnoho vnitřních změn v mod_ssl. Nastavení „ssl_engine_set“, „ssl_engine_disable“ a „ssl_proxy_enable“ byla přesunuta z mod_ssl do hlavní náplně (jádra). Pro ochranu připojení přes mod_proxy je možné použít alternativní moduly SSL. Přidána možnost logování soukromých klíčů, které lze ve wireshark použít k analýze šifrovaného provozu.
  • V mod_proxy byla zrychlena analýza cest unixových soketů předávaných do adresy URL „proxy:“.
  • Byly rozšířeny možnosti modulu mod_md, sloužícího k automatizaci příjmu a údržby certifikátů pomocí protokolu ACME (Automatic Certificate Management Environment). Je povoleno obklopovat domény uvozovkami a poskytuje podporu pro tls-alpn-01 pro názvy domén, které nejsou spojeny s virtuálními hostiteli.
  • Přidán parametr StrictHostCheck, který zakazuje specifikovat nenakonfigurované názvy hostitelů mezi argumenty seznamu „povolit“.

Zdroj: opennet.ru

Přidat komentář