Yo te pibliye Apache 2.4.49 HTTP sèvè lage, ki prezante 27 chanjman ak fikse 5 frajilite:
- CVE-2021-33193 - mod_http2 sansiblite nan yon nouvo varyant nan atak la kontrebann demann HTTP, ki pèmèt, lè yo voye demann kliyan ki fèt espesyalman, pou antre nan kontni an nan demann lòt itilizatè yo transmèt atravè mod_proxy (pa egzanp, ou ka reyalize sibstitisyon kòd JavaScript move nan sesyon an nan yon lòt itilizatè nan sit la).
- CVE-2021-40438 - SSRF (Sèvè Side Request Forgery) vilnerabilite nan mod_proxy, ki pèmèt, lè yo voye yon demann uri-chemen ki fèt espesyalman, redireksyon demann lan sou sèvè atakè a chwazi.
- CVE-2021-39275 - Tanpon debòde nan fonksyon ap_escape_quotes. Vilnerabilite a make kòm ki pa danjere, paske tout modil estanda pa pase done ekstèn nan fonksyon sa a. Men, li se teyorikman posib ke gen modil twazyèm pati nan ki ka fè yon atak.
- CVE-2021-36160 - Lekti andeyò limit nan mod_proxy_uwsgi modil, sa ki lakòz yon aksidan.
- CVE-2021-34798 - Dereferans pointeur nil ki lakòz pwosesis aksidan lè w ap okipe demann espesyal.
Chanjman ki pi remakab ki pa sekirite yo se:
- Byen anpil chanjman entèn nan mod_ssl. "ssl_engine_set", "ssl_engine_disable" ak "ssl_proxy_enable" yo te deplase soti nan mod_ssl nan fars prensipal la (nwayo). Yo bay kapasite pou itilize modil SSL altènatif pou sekirize koneksyon atravè mod_proxy. Te ajoute kapasite nan konekte kle prive, ki ka itilize nan wireshark pou analize trafik chiffres.
- Mod_proxy analiz akselere nan chemen priz Unix pase nan "proxy:" URL yo.
- Kapasite mod_md modil la, ki itilize pou otomatize resevwa ak antretyen sètifika lè l sèvi avèk pwotokòl ACME (Otomatik Sètifika Jesyon Anviwònman), yo te elaji. Otorize site nan domèn nan epi yo bay sipò pou tls-alpn-01 pou non domèn ki pa mare ak lame vityèl.
- Te ajoute opsyon StrictHostCheck pou enfim non host ki pa konfigirasyon kòm agiman nan lis "pèmèt".
Sous: opennet.ru