Release des HTTP-Servers Apache 2.4.49 mit Behebung von Sicherheitsanfälligkeiten

Die Version 2.4.49 des HTTP-Servers Apache wurde veröffentlicht, die 27 Änderungen und die Behebung von 5 Schwachstellen umfasst:

  • CVE-2021-33193 — Anfälligkeit von mod_http2 gegenüber einer neuen Variante des „HTTP Request Smuggling“-Angriffs, die es ermöglicht, durch das Senden speziell gestalteter Client-Anfragen in den Inhalt von Anfragen anderer Nutzer, die über mod_proxy übertragen werden, einzudringen (zum Beispiel kann dies dazu führen, dass bösartiger JavaScript-Code in die Sitzung eines anderen Nutzers der Webseite eingefügt wird).
  • CVE-2021-40438 — SSRF-Schwachstelle (Server Side Request Forgery) in mod_proxy, die es ermöglicht, durch das Senden einer speziell gestalteten Anfrage den Request an einen vom Angreifer ausgewählten Server umzuleiten.
  • CVE-2021-39275 — Pufferüberlauf in der Funktion ap_escape_quotes. Die Schwachstelle wird als unbedenklich eingestuft, da alle Standardmodule keine externen Daten an diese Funktion übergeben. Theoretisch könnten jedoch Drittanbieter-Module existieren, über die ein Angriff möglich ist.
  • CVE-2021-36160 — Lesevorgänge außerhalb der Puffergrenzen im Modul mod_proxy_uwsgi, was zu einem Absturz führt.
  • CVE-2021-34798 — Dereferenzierung eines Nullzeigers, die zu einem Absturz des Prozesses bei der Verarbeitung speziell gestalteter Anfragen führt.

Die bemerkenswertesten Änderungen, die nicht sicherheitsrelevant sind:

  • Es gab eine Vielzahl interner Änderungen in mod_ssl. Die Einstellungen „ssl_engine_set“, „ssl_engine_disable“ und „ssl_proxy_enable“ wurden aus mod_ssl in den Kern übernommen. Es wurde die Möglichkeit geschaffen, alternative SSL-Module zum Schutz von Verbindungen über mod_proxy zu verwenden. Zudem wurde die Möglichkeit hinzugefügt, ein Protokoll über geschlossene Schlüssel zu führen, welches in Wireshark zur Analyse des verschlüsselten Traffics verwendet werden kann.
  • In mod_proxy wurde die Analyse von Routen mit Unix-Sockets, die in der URL „proxy:“ übergeben werden, beschleunigt.
  • Die Funktionen des Moduls mod_md, das zur Automatisierung der Beantragung und Verwaltung von Zertifikaten unter Verwendung des ACME-Protokolls (Automatic Certificate Management Environment) dient, wurden erweitert. Jetzt ist es erlaubt, Domains in in Anführungszeichen zu setzen, und tls-alpn-01 wird auch für von Domainnamen, nicht an virtuelle Hosts gebundene, unterstützt.
  • Ein Parameter StrictHostCheck wurde hinzugefügt, der die Angabe von nicht konfigurierten Hostnamen in der Liste der „allow“-Argumente verbietet.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster