ProHoster > Blog > Interneteko albisteak > Apache 2.4.49 http zerbitzariaren bertsioa ahultasunak konponduta

Apache 2.4.49 http zerbitzariaren bertsioa ahultasunak konponduta

Apache 2.4.49 HTTP zerbitzariaren bertsioa argitaratu da, 27 aldaketa eta 5 ahultasun konpontzen dituena:

  • CVE-2021-33193 - mod_http2 "HTTP Request Smuggling" erasoaren aldaera berri bat jasan dezake, eta horri esker, bereziki diseinatutako bezero-eskaerak bidaliz, mod_proxy-ren bidez transmititutako beste erabiltzaile batzuen eskaeren edukietan sartzeko aukera ematen du (adibidez, guneko beste erabiltzaile baten saioan JavaScript kode gaiztoa txertatzea lor dezakezu).
  • CVE-2021-40438 SSRF (Server Side Request Forgery) ahultasun bat da mod_proxy-n, eta horri esker, eskaera erasotzaileak aukeratutako zerbitzari batera birbideratzeko aukera ematen du, bereziki landutako uri-path eskaera bat bidaliz.
  • CVE-2021-39275 - Buffer gainezka ap_escape_quotes funtzioan. Ahultasuna ongarri gisa markatu da, modulu estandar guztiek ez baitiote kanpoko daturik pasatzen funtzio honi. Baina teorikoki posible da hirugarrenen moduluak egotea, zeinen bidez eraso bat egin ahal izateko.
  • CVE-2021-36160 - Mod_proxy_uwsgi moduluan mugaz kanpoko irakurketak hutsegite bat eragiten du.
  • CVE-2021-34798 - NULL erakuslearen deserreferentziak prozesu hutsa eragiten du bereziki landutako eskaerak prozesatzen direnean.

Segurtasunaz kanpoko aldaketa nabarmenenak hauek dira:

  • Barne aldaketa asko mod_ssl-en. "ssl_engine_set", "ssl_engine_disable" eta "ssl_proxy_enable" ezarpenak mod_ssl-tik betegarri nagusira (nukleoa) eraman dira. Posible da SSL modulu alternatiboak erabiltzea mod_proxy bidez konexioak babesteko. Gako pribatuak erregistratzeko gaitasuna gehitu da, wireshark-en erabil daitekeen trafiko enkriptatua aztertzeko.
  • Mod_proxy-n, "proxy:" URLra pasatu diren unix socket bideen analisia bizkortu egin da.
  • ACME (Automatic Certificate Management Environment) protokoloa erabiliz ziurtagiriak jasotzea eta mantentzea automatizatzeko erabiltzen den mod_md moduluaren gaitasunak zabaldu dira. Domeinuak komatxoekin inguratzea onartzen da eta tls-alpn-01-rako laguntza eman zuen ostalari birtualekin lotuta ez dauden domeinu-izenetarako.
  • StrictHostCheck parametroa gehitu da, "baimendu" zerrendako argumentuen artean konfiguratu gabeko ostalari-izenak zehaztea debekatzen duena.

Iturria: opennet.ru

Gehitu iruzkin berria