È stato rilasciato il server Apache HTTP 2.4.49 che introduce 27 modifiche ed elimina 5 vulnerabilità:
- CVE-2021-33193 - mod_http2 è suscettibile a una nuova variante dell'attacco "HTTP Request Smuggling", che consente, inviando richieste client appositamente progettate, di incunearsi nel contenuto delle richieste di altri utenti trasmesse tramite mod_proxy (ad esempio, si può ottenere l'inserimento di codice JavaScript dannoso nella sessione di un altro utente del sito).
- CVE-2021-40438 è una vulnerabilità SSRF (Server Side Request Forgery) in mod_proxy, che consente di reindirizzare la richiesta a un server scelto dall'aggressore inviando una richiesta uri-path appositamente predisposta.
- CVE-2021-39275 - Overflow del buffer nella funzione ap_escape_quotes. La vulnerabilità è contrassegnata come benigna poiché tutti i moduli standard non trasmettono dati esterni a questa funzione. Ma teoricamente è possibile che esistano moduli di terze parti attraverso i quali è possibile sferrare un attacco.
- CVE-2021-36160: letture fuori limite nel modulo mod_proxy_uwsgi che causano un arresto anomalo.
- CVE-2021-34798 - Un dereferenziamento del puntatore NULL che causa un arresto anomalo del processo durante l'elaborazione di richieste appositamente predisposte.
Le modifiche più importanti non legate alla sicurezza:
- Molti cambiamenti interni in mod_ssl. Le impostazioni “ssl_engine_set”, “ssl_engine_disable” e “ssl_proxy_enable” sono state spostate da mod_ssl al riempimento principale (core). È possibile utilizzare moduli SSL alternativi per proteggere le connessioni tramite mod_proxy. Aggiunta la possibilità di registrare chiavi private, che possono essere utilizzate in wireshark per analizzare il traffico crittografato.
- In mod_proxy, l'analisi dei percorsi dei socket Unix passati all'URL "proxy:" è stata accelerata.
- Sono state ampliate le funzionalità del modulo mod_md, utilizzato per automatizzare la ricezione e il mantenimento dei certificati utilizzando il protocollo ACME (Automatic Certificate Management Environment). È consentito racchiudere i domini tra virgolette e ha fornito supporto per tls-alpn-01 per nomi di dominio non associati a host virtuali.
- Aggiunto il parametro StrictHostCheck, che vieta di specificare nomi host non configurati tra gli argomenti dell'elenco “consenti”.
Fonte: opennet.ru