ProHoster > Blogi > netin uutisia > Apache 2.4.49 http-palvelinjulkaisu, jossa haavoittuvuudet on korjattu

Apache 2.4.49 http-palvelinjulkaisu, jossa haavoittuvuudet on korjattu

Apache HTTP-palvelin 2.4.49 on julkaistu, ja se sisältää 27 muutosta ja poistaa 5 haavoittuvuutta:

  • CVE-2021-33193 - mod_http2 on alttiina "HTTP Request Smuggling" -hyökkäyksen uudelle versiolle, joka mahdollistaa lähettämällä erityisesti suunniteltuja asiakaspyyntöjä kiilautumaan muiden käyttäjien mod_proxyn kautta lähetettyjen pyyntöjen sisältöön (esim. voit lisätä haitallista JavaScript-koodia sivuston toisen käyttäjän istuntoon).
  • CVE-2021-40438 on SSRF-haavoittuvuus (Server Side Request Forgery) mod_proxyssa, jonka avulla pyyntö voidaan ohjata uudelleen hyökkääjän valitsemaan palvelimeen lähettämällä erityisesti muodostetun uri-path-pyynnön.
  • CVE-2021-39275 - Puskurin ylivuoto ap_escape_quotes-funktiossa. Haavoittuvuus on merkitty hyvänlaatuiseksi, koska kaikki vakiomoduulit eivät välitä ulkoista tietoa tälle toiminnolle. Mutta teoriassa on mahdollista, että on olemassa kolmannen osapuolen moduuleja, joiden kautta hyökkäys voidaan suorittaa.
  • CVE-2021-36160 - Mod_proxy_uwsgi-moduulin rajat ylittävät lukemat aiheuttavat kaatumisen.
  • CVE-2021-34798 - NULL-osoittimen viittaus, joka aiheuttaa prosessin kaatumisen, kun käsitellään erityisesti muotoiltuja pyyntöjä.

Merkittävimmät ei-turvallisuuteen liittyvät muutokset:

  • Melko paljon sisäisiä muutoksia mod_ssl:ssä. Asetukset "ssl_engine_set", "ssl_engine_disable" ja "ssl_proxy_enable" on siirretty mod_ssl:stä päätäyttöön (ydin). On mahdollista käyttää vaihtoehtoisia SSL-moduuleja yhteyksien suojaamiseen mod_proxyn kautta. Lisätty mahdollisuus kirjata yksityisiä avaimia, joita voidaan käyttää wiresharkissa salatun liikenteen analysointiin.
  • Mod_proxyssa "proxy:"-URL-osoitteeseen siirrettyjen unix-liitäntäpolkujen jäsentämistä on nopeutettu.
  • Varmenteiden vastaanottamisen ja ylläpidon automatisoimiseen ACME (Automatic Certificate Management Environment) -protokollaa käyttävän mod_md-moduulin ominaisuuksia on laajennettu. Sallittiin verkkotunnusten lainaaminen verkkotunnuksessa ja tuki tls-alpn-01:lle verkkotunnuksille, joita ei ole liitetty virtuaalisiin isänteihin.
  • Lisätty StrictHostCheck-parametri, joka estää määrittämättömien isäntänimien määrittämisen "salli"-luettelon argumenttien joukossa.

Lähde: opennet.ru

Lisää kommentti