ProHoster > Блог > interretaj novaĵoj > Apache 2.4.49 http-servila liberigo kun vundeblecoj fiksitaj

Apache 2.4.49 http-servila liberigo kun vundeblecoj fiksitaj

La Apache HTTP-servilo 2.4.49 estis liberigita, enkondukante 27 ŝanĝojn kaj forigante 5 vundeblecojn:

  • CVE-2021-33193 - mod_http2 estas sentema al nova varianto de la atako "HTTP Request Smuggling", kiu permesas, sendante speciale desegnitajn klientajn petojn, kojni sin en la enhavon de petoj de aliaj uzantoj transdonitaj per mod_proxy (ekzemple, vi povas atingi la enmeton de malica JavaScript-kodo en la seancon de alia uzanto de la retejo).
  • CVE-2021-40438 estas SSRF (Server Side Request Forgery) vundebleco en mod_proxy, kiu permesas la peton esti redirektita al servilo elektita de la atakanto sendante speciale kreitan uri-padan peton.
  • CVE-2021-39275 - Bufera superfluo en la funkcio ap_escape_quotes. La vundebleco estas markita kiel benigna ĉar ĉiuj normaj moduloj ne transdonas eksterajn datumojn al ĉi tiu funkcio. Sed teorie eblas, ke ekzistas triaj moduloj per kiuj atako povas esti farita.
  • CVE-2021-36160 - Ekster limoj legas en la modulo mod_proxy_uwsgi kaŭzante kraŝon.
  • CVE-2021-34798 - NULL-montrilo-malreferenco kaŭzanta procezkraŝon dum prilaborado de speciale kreitaj petoj.

La plej rimarkindaj ne-sekurecaj ŝanĝoj:

  • Sufiĉe multaj internaj ŝanĝoj en mod_ssl. La agordoj "ssl_engine_set", "ssl_engine_disable" kaj "ssl_proxy_enable" estis movitaj de mod_ssl al la ĉefa plenigo (kerno). Eblas uzi alternativajn SSL-modulojn por protekti konektojn per mod_proxy. Aldonita la kapablo ensaluti privatajn ŝlosilojn, kiuj povas esti uzataj en wireshark por analizi ĉifritan trafikon.
  • En mod_proxy, la analizado de Uniksaj ingovojoj pasitaj en la "proxy:" URL estis akcelita.
  • La kapabloj de la mod_md-modulo, uzata por aŭtomatigi la ricevon kaj prizorgadon de atestiloj uzante la protokolon ACME (Automatic Certificate Management Environment), estis pligrandigitaj. Estas permesite ĉirkaŭi domajnojn kun citaĵoj en kaj disponigis subtenon por tls-alpn-01 por domajnaj nomoj ne asociitaj kun virtualaj gastigantoj.
  • Aldonis la parametron StrictHostCheck, kiu malpermesas specifi nekonfiguritajn gastigajn nomojn inter la "permesi" listargumentoj.

fonto: opennet.ru

Aldoni komenton