Le serveur HTTP Apache 2.4.49 a été publié, introduisant 27 modifications et éliminant 5 vulnérabilités :
- CVE-2021-33193 - mod_http2 est sensible à une nouvelle variante de l'attaque "HTTP Request Smuggling", qui permet, en envoyant des requêtes client spécialement conçues, de s'infiltrer dans le contenu des requêtes d'autres utilisateurs transmises via mod_proxy (par exemple, vous pouvez réaliser l'insertion de code JavaScript malveillant dans la session d'un autre utilisateur du site) .
- CVE-2021-40438 est une vulnérabilité SSRF (Server Side Request Forgery) dans mod_proxy, qui permet à la requête d'être redirigée vers un serveur choisi par l'attaquant en envoyant une requête uri-path spécialement conçue.
- CVE-2021-39275 - Débordement de tampon dans la fonction ap_escape_quotes. La vulnérabilité est marquée comme bénigne car tous les modules standards ne transmettent pas de données externes à cette fonction. Mais il est théoriquement possible qu'il existe des modules tiers grâce auxquels une attaque peut être menée.
- CVE-2021-36160 - Lectures hors limites dans le module mod_proxy_uwsgi provoquant un crash.
- CVE-2021-34798 – Un déréférencement de pointeur NULL provoquant un crash du processus lors du traitement de requêtes spécialement conçues.
Les changements non liés à la sécurité les plus notables :
- Pas mal de changements internes dans mod_ssl. Les paramètres « ssl_engine_set », « ssl_engine_disable » et « ssl_proxy_enable » ont été déplacés de mod_ssl vers le remplissage principal (core). Il est possible d'utiliser des modules SSL alternatifs pour protéger les connexions via mod_proxy. Ajout de la possibilité de consigner les clés privées, qui peuvent être utilisées dans Wireshark pour analyser le trafic crypté.
- Dans mod_proxy, l'analyse des chemins de socket Unix transmis dans l'URL « proxy : » a été accélérée.
- Les capacités du module mod_md, utilisé pour automatiser la réception et la maintenance des certificats à l'aide du protocole ACME (Automatic Certificate Management Environment), ont été étendues. Il est permis d'entourer les domaines de guillemets dans et a fourni la prise en charge de tls-alpn-01 pour les noms de domaine non associés à des hôtes virtuels.
- Ajout du paramètre StrictHostCheck, qui interdit de spécifier des noms d'hôtes non configurés parmi les arguments de la liste « autoriser ».
Source: opennet.ru