ProHoster > Blog > actualités internet > Version du serveur http Apache 2.4.49 avec vulnérabilités corrigées

Version du serveur http Apache 2.4.49 avec vulnérabilités corrigées

Le serveur HTTP Apache 2.4.49 a été publié, introduisant 27 modifications et éliminant 5 vulnérabilités :

  • CVE-2021-33193 - mod_http2 est sensible à une nouvelle variante de l'attaque "HTTP Request Smuggling", qui permet, en envoyant des requêtes client spécialement conçues, de s'infiltrer dans le contenu des requêtes d'autres utilisateurs transmises via mod_proxy (par exemple, vous pouvez réaliser l'insertion de code JavaScript malveillant dans la session d'un autre utilisateur du site) .
  • CVE-2021-40438 est une vulnérabilité SSRF (Server Side Request Forgery) dans mod_proxy, qui permet à la requête d'être redirigée vers un serveur choisi par l'attaquant en envoyant une requête uri-path spécialement conçue.
  • CVE-2021-39275 - Débordement de tampon dans la fonction ap_escape_quotes. La vulnérabilité est marquée comme bénigne car tous les modules standards ne transmettent pas de données externes à cette fonction. Mais il est théoriquement possible qu'il existe des modules tiers grâce auxquels une attaque peut être menée.
  • CVE-2021-36160 - Lectures hors limites dans le module mod_proxy_uwsgi provoquant un crash.
  • CVE-2021-34798 – Un déréférencement de pointeur NULL provoquant un crash du processus lors du traitement de requêtes spécialement conçues.

Les changements non liés à la sécurité les plus notables :

  • Pas mal de changements internes dans mod_ssl. Les paramètres « ssl_engine_set », « ssl_engine_disable » et « ssl_proxy_enable » ont été déplacés de mod_ssl vers le remplissage principal (core). Il est possible d'utiliser des modules SSL alternatifs pour protéger les connexions via mod_proxy. Ajout de la possibilité de consigner les clés privées, qui peuvent être utilisées dans Wireshark pour analyser le trafic crypté.
  • Dans mod_proxy, l'analyse des chemins de socket Unix transmis dans l'URL « proxy : » a été accélérée.
  • Les capacités du module mod_md, utilisé pour automatiser la réception et la maintenance des certificats à l'aide du protocole ACME (Automatic Certificate Management Environment), ont été étendues. Il est permis d'entourer les domaines de guillemets dans et a fourni la prise en charge de tls-alpn-01 pour les noms de domaine non associés à des hôtes virtuels.
  • Ajout du paramètre StrictHostCheck, qui interdit de spécifier des noms d'hôtes non configurés parmi les arguments de la liste « autoriser ».

Source: opennet.ru

Ajouter un commentaire