ProHoster > Blog > naidheachdan eadar-lìn > Sgaoileadh frithealaiche Apache 2.4.49 http le so-leòntachd stèidhichte

Sgaoileadh frithealaiche Apache 2.4.49 http le so-leòntachd stèidhichte

Chaidh frithealaiche Apache HTTP 2.4.49 a leigeil ma sgaoil, a’ toirt a-steach atharrachaidhean 27 agus a’ cur às do chugallachd 5:

  • Tha CVE-2021-33193 - mod_http2 buailteach do thionndadh ùr den ionnsaigh “Smuggling Iarrtas HTTP”, a leigeas, le bhith a’ cur iarrtasan teachdaiche a chaidh an dealbhadh gu sònraichte, a-steach do shusbaint iarrtasan bho luchd-cleachdaidh eile air an tar-chuir tro mod_proxy (mar eisimpleir, faodaidh tu còd droch-rùnach JavaScript a chuir a-steach do sheisean neach-cleachdaidh eile den làrach).
  • Tha CVE-2021-40438 na so-leòntachd SSRF (Fearrachadh Iarrtas Taobh an Fhrithealaiche) ann am mod_proxy, a leigeas leis an iarrtas a bhith air ath-stiùireadh gu frithealaiche a thagh an neach-ionnsaigh le bhith a’ cur iarrtas slighe uri sònraichte a-steach.
  • CVE-2021-39275 - Thar-shruth bufair ann an gnìomh ap_escape_quotes. Tha an so-leòntachd air a chomharrachadh mar neo-riaghailteach leis nach eil a h-uile modal àbhaisteach a’ toirt seachad dàta bhon taobh a-muigh don ghnìomh seo. Ach tha e comasach gu teòiridheach gu bheil modalan treas-phàrtaidh ann tro am faodar ionnsaigh a dhèanamh.
  • CVE-2021-36160 - Leughadh taobh a-muigh chrìochan anns a’ mhodal mod_proxy_uwsgi ag adhbhrachadh tubaist.
  • CVE-2021-34798 - Iomradh puing NULL ag adhbhrachadh tubaist pròiseas nuair a bhios tu a’ làimhseachadh iarrtasan sònraichte.

Na h-atharrachaidhean neo-tèarainteachd as ainmeil:

  • Mòran atharrachaidhean a-staigh ann am mod_ssl. Chaidh na roghainnean “ssl_engine_set”, “ssl_engine_disable” agus “ssl_proxy_enable” a ghluasad bho mod_ssl chun phrìomh lìonadh (cridhe). Tha e comasach modalan SSL eile a chleachdadh gus ceanglaichean a dhìon tro mod_proxy. Chuir sinn ris a’ chomas iuchraichean prìobhaideach a chlàradh, a ghabhas cleachdadh ann an wireshark gus trafaic crioptaichte a sgrùdadh.
  • Ann am mod_proxy, chaidh parsadh slighean socaid unix a chaidh a-steach don URL “proxy:" a luathachadh.
  • Chaidh comasan a’ mhodal mod_md, a thathas a’ cleachdadh gus faighinn agus cumail suas theisteanasan gu fèin-ghluasadach a’ cleachdadh protocol ACME (Àrainneachd Riaghladh Teisteanas fèin-ghluasadach), a leudachadh. Tha e ceadaichte raointean a chuairteachadh le luachan a-steach agus thug e taic do tls-alpn-01 airson ainmean fearainn nach eil co-cheangailte ri luchd-aoigheachd mas-fhìor.
  • Chaidh paramadair StrictHostCheck a chur ris gus casg a chuir air ainmean aoigheachd neo-ullaichte a bhith air an toirt a-steach do na h-argamaidean liosta “ceadaich”.

Source: fosgailtenet.ru

Cuir beachd ann