ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu ʻia ʻo Apache 2.4.52 http server me ka hoʻoponopono ʻana i ka buffer overflow i mod_lua

Hoʻokuʻu ʻia ʻo Apache 2.4.52 http server me ka hoʻoponopono ʻana i ka buffer overflow i mod_lua

Ua hoʻokuʻu ʻia ka Apache HTTP server 2.4.52, e hoʻolauna ana i nā hoʻololi 25 a me ka hoʻopau ʻana i nā nāwaliwali 2:

  • ʻO CVE-2021-44790 kahi hoʻoheheʻe ʻana ma mod_lua e kū nei i ka wā e hoʻopau ai i nā noi ʻāpana. Hoʻopilikia ka vulnerability i nā hoʻonohonoho i kapa ʻia e nā palapala Lua i ka hana r:parsebody() no ka hoʻokaʻawale ʻana i ke kino noi, e ʻae ana i ka mea hoʻouka e hoʻoulu i kahi pale ma ka hoʻouna ʻana i kahi noi i hana kūikawā ʻia. ʻAʻole i ʻike ʻia kahi hōʻike o ka hoʻohana ʻana, akā hiki i ka pilikia ke alakaʻi i ka hoʻokō ʻana i kāna code ma ke kikowaena.
  • CVE-2021-44224 - SSRF (Server Side Request Forgery) vulnerability in mod_proxy, i hiki ai, i ka hoʻonohonoho ʻana me ka "ProxyRequests on" hoʻonohonoho, ma o kahi noi no kahi URI i hoʻolālā kūikawā ʻia, e hoʻokō i kahi noi redirection i kekahi mea lawelawe ma ka like. kikowaena e ʻae i nā pilina ma o kahi Unix Domain Socket. Hiki ke hoʻohana ʻia ka pilikia no ka hoʻokumu ʻana i nā kūlana no ka dereference null pointer. Pili ka pilikia i nā mana o Apache httpd e hoʻomaka ana mai ka mana 2.4.7.

ʻO nā hoʻololi palekana ʻole i kaulana loa:

  • Hoʻohui i ke kākoʻo no ke kūkulu ʻana me ka waihona OpenSSL 3 i mod_ssl.
  • Hoʻomaikaʻi ʻia ka ʻike waihona OpenSSL ma nā palapala autoconf.
  • Ma mod_proxy, no nā kuʻina tunneling, hiki ke hoʻopau i ka hoʻihoʻi hou ʻana o nā pilina TCP hapalua kokoke ma ka hoʻonohonoho ʻana i ka ʻāpana "SetEnv proxy-nohalfclose".
  • Hoʻohui ʻia nā loiloi ʻē aʻe ʻaʻole i manaʻo ʻia ka URI no ke koho ʻana i ka papahana http/https, a ʻo nā mea i manaʻo ʻia no ke koho ʻana i loaʻa ka inoa host.
  • ʻAʻole ʻae ʻo mod_proxy_connect a me mod_proxy e hoʻololi ke code kūlana ma hope o ka hoʻouna ʻia ʻana i ka mea kūʻai.
  • I ka hoʻouna ʻana i nā pane waena ma hope o ka loaʻa ʻana o nā noi me ke poʻomanaʻo "Expect: 100-Continue", e hōʻoia i ka hopena e hōʻike i ke kūlana o "100 Continue" ma mua o ke kūlana o kēia noi.
  • Hoʻohui ʻo mod_dav i ke kākoʻo no nā hoʻonui ʻia ʻo CalDAV, e koi ana i nā mea palapala a me nā mea waiwai e noʻonoʻo i ka wā e hana ai i kahi waiwai. Hoʻohui ʻia nā hana hou dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() a me dav_find_attr(), hiki ke kāhea ʻia mai nā modula ʻē aʻe.
  • Ma mpm_event, ua hoʻoholo ʻia ka pilikia me ka hoʻōki ʻana i nā kaʻina hana keiki ma hope o ka piʻi ʻana o ka ukana kikowaena.
  • Ua hoʻopaʻa ʻo Mod_http2 i nā hoʻololi regression i hoʻokumu i ka hana hewa i ka wā e lawelawe ai i nā palena ʻo MaxRequestsPerChild a me MaxConnectionsPerChild.
  • Ua hoʻonui ʻia nā mana o ka mod_md module, i hoʻohana ʻia e hoʻomaʻamaʻa i ka loaʻa a me ka mālama ʻana i nā palapala hōʻoia e hoʻohana ana i ka protocol ACME (Automatic Certificate Management Environment).
    • Hoʻohui ʻia ke kākoʻo no ka ʻenehana ACME External Account Binding (EAB), hiki ke hoʻohana ʻia me ke kuhikuhi MDExternalAccountBinding. Hiki ke hoʻonohonoho ʻia nā waiwai no ka EAB mai kahi faila JSON waho, e pale ana i ka hōʻike ʻana i nā ʻāpana hōʻoia i ka faila hoʻonohonoho kikowaena kikowaena.
    • ʻO ka 'MDCertificateAuthority' kuhikuhi e hōʻoia i ka URL parameter aia ka http/https a i ʻole kekahi o nā inoa i koho mua ʻia ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' a me 'Buypass-Test').
    • ʻAe ʻia e kuhikuhi i ke kuhikuhi MDContactEmail i loko o ka ʻāpana .
    • Ua hoʻopaʻa ʻia kekahi mau pōpoki, me kahi leaka hoʻomanaʻo e kū mai ana i ka wā i hāʻule ʻole ai ka hoʻouka ʻana i kahi kī pilikino.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka