ProHoster > Blog > internetes hírek > Apache 2.4.49 http-szerver kiadás, javítva a biztonsági réseket

Apache 2.4.49 http-szerver kiadás, javítva a biztonsági réseket

Megjelent az Apache 2.4.49 HTTP-szerver kiadása, amely 27 változtatást és 5 biztonsági rést javított:

  • A CVE-2021-33193 - A mod_http2 érzékeny a "HTTP Request Smuggling" támadás új változatára, amely lehetővé teszi, hogy speciálisan kialakított klienskérések küldésével beékelje magát a többi felhasználótól származó, mod_proxyn keresztül továbbított kérések tartalmába (például elérheti a rosszindulatú JavaScript kód beszúrását a webhely másik felhasználójának munkamenetébe).
  • A CVE-2021-40438 a mod_proxy SSRF (Server Side Request Forgery) biztonsági rése, amely lehetővé teszi a kérés átirányítását a támadó által kiválasztott kiszolgálóra egy speciálisan kialakított uri-path kérés elküldésével.
  • CVE-2021-39275 – Puffertúlcsordulás az ap_escape_quotes függvényben. A biztonsági rés jóindulatúként van megjelölve, mert nem minden szabványos modul továbbít külső adatokat ennek a funkciónak. De elméletileg lehetséges, hogy léteznek olyan harmadik féltől származó modulok, amelyeken keresztül támadást lehet végrehajtani.
  • CVE-2021-36160 - Határon túli olvasás a mod_proxy_uwsgi modulban, ami összeomlást okoz.
  • CVE-2021-34798 – NULL mutatóhivatkozás, amely folyamatösszeomlást okoz speciálisan kialakított kérések feldolgozása során.

A legjelentősebb nem biztonsági változások a következők:

  • Elég sok belső változás a mod_ssl-ben. Az „ssl_engine_set”, „ssl_engine_disable” és „ssl_proxy_enable” beállítások átkerültek a mod_ssl-ből a fő kitöltésbe (core). Lehetőség van alternatív SSL-modulok használatára a mod_proxy-n keresztüli kapcsolatok védelmére. Hozzáadtuk a privát kulcsok naplózásának lehetőségét, amely a wiresharkban használható a titkosított forgalom elemzésére.
  • A mod_proxyban a „proxy:” URL-be átadott unix socket elérési utak elemzése felgyorsult.
  • Az ACME (Automatic Certificate Management Environment) protokoll segítségével a tanúsítványok fogadásának és karbantartásának automatizálására szolgáló mod_md modul képességei bővültek. Engedélyezte a tartományok idézését az -ban, és a tls-alpn-01 támogatást biztosította a virtuális gazdagépekhez nem társított tartománynevekhez.
  • Hozzáadtuk a StrictHostCheck paramétert, amely megtiltja a nem konfigurált gazdagépnevek megadását az „allow” lista argumentumai között.

Forrás: opennet.ru

Hozzászólás