ProHoster > Blog > internetske vijesti > Izdanje http poslužitelja Apache 2.4.49 s popravljenim ranjivostima

Izdanje http poslužitelja Apache 2.4.49 s popravljenim ranjivostima

Objavljen je Apache HTTP poslužitelj 2.4.49 koji uvodi 27 promjena i uklanja 5 ranjivosti:

  • CVE-2021-33193 - mod_http2 je osjetljiv na novu varijantu napada "HTTP Request Smuggling", koji omogućuje, slanjem posebno dizajniranih zahtjeva klijenta, da se uvuče u sadržaj zahtjeva drugih korisnika koji se prenose putem mod_proxy (na primjer, možete postići umetanje zlonamjernog JavaScript koda u sesiju drugog korisnika stranice) .
  • CVE-2021-40438 je SSRF (Server Side Request Forgery) ranjivost u mod_proxyju, koja omogućuje preusmjeravanje zahtjeva na poslužitelj koji je odabrao napadač slanjem posebno izrađenog zahtjeva uri-path.
  • CVE-2021-39275 - Prelijevanje međuspremnika u funkciji ap_escape_quotes. Ranjivost je označena kao benigna jer svi standardni moduli ne prosljeđuju vanjske podatke ovoj funkciji. Ali teoretski je moguće da postoje moduli trećih strana preko kojih se može izvršiti napad.
  • CVE-2021-36160 - Čitanje izvan granica u modulu mod_proxy_uwsgi uzrokuje rušenje.
  • CVE-2021-34798 - NULL dereferencija pokazivača koja uzrokuje pad procesa prilikom obrade posebno izrađenih zahtjeva.

Najznačajnije nesigurnosne promjene:

  • Dosta internih promjena u mod_ssl. Postavke “ssl_engine_set”, “ssl_engine_disable” i “ssl_proxy_enable” premještene su iz mod_ssl u glavno punjenje (core). Moguće je koristiti alternativne SSL module za zaštitu veza preko mod_proxy. Dodana je mogućnost bilježenja privatnih ključeva, koji se mogu koristiti u wiresharku za analizu kriptiranog prometa.
  • U mod_proxyju ubrzano je analiziranje staza unix utičnica proslijeđenih u URL "proxy:".
  • Proširene su mogućnosti modula mod_md koji se koristi za automatiziranje primanja i održavanja certifikata korištenjem ACME (Automatic Certificate Management Environment) protokola. Dopušteno je staviti domene u navodnike i osigurao podršku za tls-alpn-01 za nazive domena koji nisu povezani s virtualnim hostovima.
  • Dodan je parametar StrictHostCheck, koji zabranjuje navođenje nekonfiguriranih naziva hostova među argumentima popisa "dopuštenih".

Izvor: opennet.ru

Dodajte komentar