ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu ʻia ʻo Apache 2.4.49 http server me nā nāwaliwali i hoʻopaʻa ʻia

Hoʻokuʻu ʻia ʻo Apache 2.4.49 http server me nā nāwaliwali i hoʻopaʻa ʻia

Ua hoʻokuʻu ʻia ka Apache HTTP server 2.4.49, e hoʻolauna ana i nā hoʻololi 27 a me ka hoʻopau ʻana i nā nāwaliwali 5:

  • CVE-2021-33193 - mod_http2 hiki ke maʻalahi i kahi ʻano hou o ka "HTTP Request Smuggling" hoʻouka, e ʻae ai, ma ka hoʻouna ʻana i nā noi mea kūʻai aku i hoʻolālā ʻia, e hoʻopili iā ia iho i loko o nā mea o nā noi mai nā mea hoʻohana ʻē aʻe i hoʻouna ʻia ma o mod_proxy (no ka laʻana, hiki iā ʻoe ke hoʻokō i ka hoʻokomo ʻana i ka code JavaScript maikaʻi ʻole i ka hālāwai o kekahi mea hoʻohana o ka pūnaewele).
  • CVE-2021-40438 he SSRF (Server Side Request Forgery) vulnerability in mod_proxy, ka mea e hiki ai i ka noi ke hoʻihoʻi ʻia i kahi kikowaena i koho ʻia e ka mea hoʻouka ma ka hoʻouna ʻana i kahi noi ala ala i hana ʻia.
  • CVE-2021-39275 - Hoʻonui ka pahu i ka hana ap_escape_quotes. Hoʻomaopopo ʻia ka nāwaliwali ma ke ʻano he benign no ka mea ʻaʻole i hāʻawi nā modula maʻamau i ka ʻikepili waho i kēia hana. Akā, hiki i ka manaʻo ke loaʻa nā modula ʻaoʻao ʻekolu e hiki ai ke hoʻouka ʻia.
  • CVE-2021-36160 - Heluhelu ʻia ma waho o ka palena ma ka mod_proxy_uwsgi module e hoʻopilikia ai.
  • CVE-2021-34798 - He kuhi kuhi NULL e hoʻopilikia ai i ke kaʻina hana i ka wā e hana ai i nā noi i hana kūikawā ʻia.

ʻO nā hoʻololi palekana ʻole i kaulana loa:

  • Nui nā loli kūloko i mod_ssl. Ua hoʻoneʻe ʻia nā hoʻonohonoho "ssl_engine_set", "ssl_engine_disable" a me "ssl_proxy_enable" mai mod_ssl i ka hoʻopiha nui (core). Hiki ke hoʻohana i nā modula SSL ʻē aʻe e pale i nā pilina ma o mod_proxy. Hoʻohui ʻia ka hiki ke hoʻopaʻa inoa i nā kī pilikino, hiki ke hoʻohana ʻia i wireshark e nānā i nā kaʻa i hoʻopili ʻia.
  • Ma mod_proxy, ua hoʻokē ʻia ka hoʻololi ʻana i nā ala kumu unix i loko o ka "proxy:" URL.
  • Ua hoʻonui ʻia nā mana o ka mod_md module, i hoʻohana ʻia e hoʻomaʻamaʻa i ka loaʻa a me ka mālama ʻana i nā palapala hōʻoia me ka ACME (Automatic Certificate Management Environment). Ua ʻae ʻia e hoʻopuni i nā kāʻei kapu me nā huaʻōlelo i loko a hāʻawi i ke kākoʻo no tls-alpn-01 no nā inoa kikowaena ʻaʻole pili me nā pūʻali virtual.
  • Hoʻohui ʻia ka ʻāpana StrictHostCheck, ka mea i pāpā i ka wehewehe ʻana i nā inoa inoa ʻole i hoʻonohonoho ʻia ma waena o nā manaʻo hoʻopaʻapaʻa "ʻae".

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka