ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Apache 2.4.49 http server release karo vulnerabilities tetep

Apache 2.4.49 http server release karo vulnerabilities tetep

Server HTTP Apache 2.4.49 wis dirilis, ngenalake 27 owah-owahan lan ngilangi 5 kerentanan:

  • CVE-2021-33193 - mod_http2 rentan kanggo varian anyar saka serangan "HTTP Request Smuggling", sing ngidini, kanthi ngirim panjalukan klien sing dirancang khusus, kanggo nggandhengake dhewe menyang isi panjalukan saka pangguna liyane sing ditularake liwat mod_proxy (contone, sampeyan bisa entuk sisipan kode JavaScript angkoro menyang sesi pangguna liyane ing situs kasebut) .
  • CVE-2021-40438 minangka kerentanan SSRF (Server Side Request Forgery) ing mod_proxy, sing ngidini panjaluk kasebut dialihake menyang server sing dipilih dening panyerang kanthi ngirim panjalukan jalur uri sing digawe khusus.
  • CVE-2021-39275 - Buffer overflow ing fungsi ap_escape_quotes. Kerentanan kasebut ditandhani minangka entheng amarga kabeh modul standar ora ngirim data eksternal menyang fungsi iki. Nanging sacara teoritis bisa uga ana modul pihak katelu sing bisa ditindakake serangan.
  • CVE-2021-36160 - Out-of-bounds diwaca ing modul mod_proxy_uwsgi nyebabake kacilakan.
  • CVE-2021-34798 - Dereference pointer NULL nyebabake kacilakan proses nalika ngolah panjaluk sing digawe khusus.

Owah-owahan non-keamanan sing paling penting yaiku:

  • Cukup akeh owah-owahan internal ing mod_ssl. Setelan "ssl_engine_set", "ssl_engine_disable" lan "ssl_proxy_enable" wis dipindhah saka mod_ssl menyang ngisi utama (inti). Sampeyan bisa nggunakake modul SSL alternatif kanggo nglindhungi sambungan liwat mod_proxy. Nambahake kemampuan kanggo log kunci pribadi, sing bisa digunakake ing wireshark kanggo nganalisa lalu lintas sing dienkripsi.
  • Ing mod_proxy, parsing jalur soket unix liwati menyang "proxy:" URL wis digawe cepet.
  • Kapabilitas modul mod_md, sing digunakake kanggo ngotomatisasi panrimo lan pangopΓ¨nan sertifikat nggunakake protokol ACME (Lingkungan Manajemen Sertifikat Otomatis), wis ditambahi. Diijini ngubengi domain kanthi kuotasi lan nyedhiyakake dhukungan kanggo tls-alpn-01 kanggo jeneng domain sing ora ana gandhengane karo host virtual.
  • Nambahake parameter StrictHostCheck, sing nglarang nemtokake jeneng host sing ora dikonfigurasi ing antarane argumen dhaptar "ngidini".

Source: opennet.ru

Add a comment