Apache HTTP サーバー 2.4.49 がリリースされ、27 件の変更が導入され、5 件の脆弱性が解消されました。
- CVE-2021-33193 - mod_http2 は、特別に設計されたクライアント リクエストを送信することで、mod_proxy 経由で送信される他のユーザーからのリクエストのコンテンツに自身を割り込むことを可能にする「HTTP リクエスト スマグリング」攻撃の新しい亜種の影響を受けやすくなっています (例:サイトの別のユーザーのセッションに悪意のある JavaScript コードを挿入する可能性があります)。
- CVE-2021-40438 は、mod_proxy の SSRF (サーバー サイド リクエスト フォージェリ) の脆弱性であり、特別に細工された uri-path リクエストを送信することで、攻撃者が選択したサーバーにリクエストがリダイレクトされる可能性があります。
- CVE-2021-39275 - ap_escape_quotes 関数のバッファ オーバーフロー。 すべての標準モジュールがこの関数に外部データを渡さないため、この脆弱性は無害としてマークされています。 しかし理論的には、攻撃を実行できるサードパーティ製モジュールが存在する可能性があります。
- CVE-2021-36160 - mod_proxy_uwsgi モジュールでの範囲外の読み取りによりクラッシュが発生します。
- CVE-2021-34798 - 特別に細工されたリクエストを処理するときに、NULL ポインターの逆参照が原因でプロセス クラッシュが発生します。
セキュリティ以外の最も注目すべき変更は次のとおりです。
- mod_ssl にはかなり多くの内部変更が加えられています。 設定「ssl_engine_set」、「ssl_engine_disable」、および「ssl_proxy_enable」は、mod_ssl からメイン充填 (コア) に移動されました。 代替の SSL モジュールを使用して、mod_proxy 経由の接続を保護することができます。 Wireshark で暗号化されたトラフィックを分析するために使用できる秘密キーをログに記録する機能が追加されました。
- mod_proxy では、「proxy:」 URL に渡される Unix ソケット パスの解析が高速化されました。
- ACME (自動証明書管理環境) プロトコルを使用して証明書の受信と保守を自動化するために使用される mod_md モジュールの機能が拡張されました。 ドメインを引用符で囲むことができます。 また、仮想ホストに関連付けられていないドメイン名に対して tls-alpn-01 のサポートを提供しました。
- 「許可」リストの引数に未構成のホスト名を指定することを禁止する StrictHostCheck パラメータが追加されました。
出所: オープンネット.ru