ProHoster > Blag > nuacht idirlín > Scaoileadh freastalaí Apache 2.4.52 http le socrú maolánach thar maoil i mod_lua

Scaoileadh freastalaí Apache 2.4.52 http le socrú maolánach thar maoil i mod_lua

Tá an freastalaí Apache HTTP 2.4.52 scaoilte, ag tabhairt isteach 25 athrú agus ag fáil réidh le 2 leochaileacht:

  • Is forsreabhadh maolánach é CVE-2021-44790 i mod_lua a tharlaíonn nuair a bhíonn iarratais ilpháirteacha á bparsáil. Bíonn tionchar ag an leochaileacht ar chumraíochtaí ina dtugann scripteanna Lua an fheidhm r:parsebody() chun an corp iarratais a pharsáil, rud a ligeann d’ionsaitheoir ró-shreabhadh maoláin a chur faoi deara trí iarratas sainráite a sheoladh. Níor sainaithníodh aon fhianaise ar shaothrú go fóill, ach d'fhéadfadh an fhadhb a bheith mar thoradh ar a chód a fhorghníomhú ar an bhfreastalaí.
  • CVE-2021-44224 - Leochaileacht SSRF (Brionnú Iarratas Taobh an Fhreastalaí) i mod_proxy, a cheadaíonn, i bhfoirmíochtaí leis an socrú “ProxyRequests on”, trí iarratas ar URI atá saindeartha, iarratas a atreorú chuig láimhseálaí eile ar an gcéanna freastalaí a ghlacann le naisc trí Soicéad Fearainn Unix. Is féidir an tsaincheist a úsáid freisin chun timpiste a chruthú trí na coinníollacha a chruthú le haghaidh díléiriú pointeoir nialasach. Bíonn tionchar ag an tsaincheist ar leaganacha de Apache httpd ag tosú ó leagan 2.4.7.

Is iad na hathruithe neamhshlándála is suntasaí ná:

  • Tacaíocht bhreise le tógáil le leabharlann OpenSSL 3 le mod_ssl.
  • Brath leabharlann OpenSSL feabhsaithe i scripteanna autoconf.
  • I mod_proxy, maidir le prótacail tollánaithe, is féidir atreorú nasc leathdhúnadh TCP a dhíchumasú trí pharaiméadar “SetEnv proxy-nohalfclose” a shocrú.
  • Cuireadh seiceálacha breise leis nach gcuimsítear an scéim http/https sna URIanna atá beartaithe le haghaidh seachfhreastalaí, agus go bhfuil an t-óstainm orthu siúd atá beartaithe le haghaidh seachfhreastalaí.
  • ní cheadaíonn mod_proxy_connect agus mod_proxy an cód stádais a athrú tar éis é a sheoladh chuig an gcliant.
  • Agus freagraí idirmheánacha á seoladh agat tar éis iarratais a fháil leis an gceannteideal "Ag súil le: 100 Leanúint ar aghaidh", cinntigh go léiríonn an toradh stádas "100 Leanúint ar aghaidh" seachas stádas reatha an iarratais.
  • Cuireann mod_dav tacaíocht le haghaidh síntí CalDAV, a éilíonn go gcuirfí gnéithe doiciméad agus maoine araon san áireamh agus maoin á giniúint. Cuireadh feidhmeanna nua leis dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() agus dav_find_attr(), ar féidir glaoch orthu ó mhodúil eile.
  • In mpm_event, réitíodh an fhadhb le próisis linbh díomhaoin a stopadh tar éis ardú ar ualach an fhreastalaí.
  • Tá athruithe cúlchéimnithe socraithe ag Mod_http2 a d’eascair iompar mícheart agus srianta MaxRequestsPerChild agus MaxConnectionsPerChild á láimhseáil.
  • Leathnaíodh cumais an mhodúil mod_md, a úsáidtear chun fáil agus cothabháil deimhnithe a uathoibriú trí úsáid a bhaint as prótacal ACME (Timpeallacht Bainistíochta Teastas Uathoibríoch):
    • Tacaíocht bhreise do mheicníocht Ceangailteacha Cuntas Seachtrach ACME (EAB), cumasaithe ag baint úsáide as an treoir MDExternalAccountBinding. Is féidir luachanna don EAB a chumrú ó chomhad JSON seachtrach, ag seachaint paraiméadair fíordheimhnithe a nochtadh i gcomhad cumraíochta an phríomhfhreastalaí.
    • Cinntíonn an treoir 'MDCertificateAuthority' go bhfuil http/https nó ceann de na hainmneacha réamhshainithe ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' agus 'Buypass-Test') sa pharaiméadar URL.
    • Ceadaítear an treoir MDCContactEmail a shonrú taobh istigh de chuid .
    • Tá roinnt fabht socraithe, lena n-áirítear sceitheadh ​​cuimhne a tharlaíonn nuair a theipeann ar lódáil eochair phríobháideach.

Foinse: oscailtenet.ru

Add a comment