ProHoster > Blag > nuacht idirlín > Scaoileadh freastalaí Apache 2.4.49 http le leochaileachtaí socraithe

Scaoileadh freastalaí Apache 2.4.49 http le leochaileachtaí socraithe

Tá freastalaí Apache HTTP 2.4.49 scaoilte, ag tabhairt isteach 27 athrú agus ag fáil réidh le 5 leochaileacht:

  • Tá CVE-2021-33193 - mod_http2 so-ghabhálach i leith leagan nua den ionsaí "Smuigleáil Iarratas HTTP", a cheadaíonn, trí iarratais cliant atá saindeartha a sheoladh, é féin a cheangal isteach in inneachar na n-iarratas ó úsáideoirí eile a tharchuirtear trí mod_proxy (mar shampla, is féidir leat cód mailíseach JavaScript a chur isteach i seisiún úsáideora eile an tsuímh).
  • Is leochaileacht SSRF (Brionnú Iarratas Taobh an Fhreastalaí) é CVE-2021-40438 i mod_proxy, a cheadaíonn an t-iarratas a atreorú chuig freastalaí a roghnaíonn an t-ionsaitheoir trí iarratas uri-chonair saindeartha a sheoladh.
  • CVE-2021-39275 - Maolán thar maoil san fheidhm ap_escape_quotes. Tá an leochaileacht marcáilte mar neamhurchóideach toisc nach dtugann gach modúl caighdeánach sonraí seachtracha don fheidhm seo. Ach is féidir go teoiriciúil go bhfuil modúil tríú páirtí ann trínar féidir ionsaí a dhéanamh.
  • CVE-2021-36160 - Léann lasmuigh de theorainneacha sa mhodúl mod_proxy_uwsgi is cúis le timpiste.
  • CVE-2021-34798 - Tagairt pointeoir NULLComment a d’fhág go raibh tionóisc próisis ann agus iarratais shaincheaptha á bpróiseáil.

Is iad na hathruithe neamhshlándála is suntasaí ná:

  • Go leor athruithe inmheánacha i mod_ssl. Tá na socruithe “ssl_engine_set”, “ssl_engine_disable” agus “ssl_proxy_enable” aistrithe ó mod_ssl go dtí an príomh-líonadh (croí). Is féidir modúil SSL eile a úsáid chun naisc a chosaint trí mod_proxy. Cuireadh leis an gcumas chun eochracha príobháideacha a logáil, ar féidir a úsáid i wireshark chun anailís a dhéanamh ar thrácht criptithe.
  • I mod_proxy, luathaíodh parsáil cosáin soicéad unix a cuireadh isteach sa URL “seachfhreastalaí:".
  • Leathnaíodh cumais an mhodúil mod_md, a úsáidtear chun fáil agus cothabháil deimhnithe a uathoibriú trí úsáid a bhaint as prótacal ACME (Timpeallacht Bainistíochta Teastais Uathoibríoch). Tá sé ceadaithe fearainn a thimpeallú le comharthaí athfhriotail i agus thug siad tacaíocht do tls-alpn-01 d’ainmneacha fearainn nach mbaineann le hóstach fíorúla.
  • Cuireadh an paraiméadar StrictHostCheck leis, a chuireann cosc ​​ar óstainmneacha neamhchumraithe a shonrú i measc na n-argóintí liosta “ceadaigh”.

Foinse: oscailtenet.ru

Add a comment