Apache HTTP сервері 2.4.49 шығарылды, ол 27 өзгерту енгізіп, 5 осалдықты жойды:
- CVE-2021-33193 - mod_http2 арнайы әзірленген клиенттік сұрауларды жіберу арқылы mod_proxy арқылы жіберілген басқа пайдаланушылардың сұрауларының мазмұнына енуге мүмкіндік беретін "HTTP сұрауының контрабандасы" шабуылының жаңа нұсқасына бейім (мысалы, сайттың басқа пайдаланушысының сеансына зиянды JavaScript кодын енгізуге қол жеткізе аласыз).
- CVE-2021-40438 — mod_proxy жүйесіндегі SSRF (Сервер тарапынан сұрауды жалған жасау) осалдығы, ол арнайы жасалған uri-жол сұрауын жіберу арқылы сұрауды шабуылдаушы таңдаған серверге қайта бағыттауға мүмкіндік береді.
- CVE-2021-39275 - ap_escape_quotes функциясындағы буфердің толып кетуі. Барлық стандартты модульдер бұл функцияға сыртқы деректерді жібермейтіндіктен осалдық қауіпсіз деп белгіленген. Бірақ теориялық тұрғыдан шабуылды жүзеге асыруға болатын үшінші тарап модульдері болуы мүмкін.
- CVE-2021-36160 - mod_proxy_uwsgi модуліндегі шектен тыс оқылымдар бұзылуды тудырды.
- CVE-2021-34798 - Арнайы жасалған сұрауларды өңдеу кезінде процестің бұзылуына әкелетін NULL көрсеткіш сілтемесі.
Қауіпсіздікке жатпайтын ең маңызды өзгерістер:
- Mod_ssl ішіндегі көптеген ішкі өзгерістер. “ssl_engine_set”, “ssl_engine_disable” және “ssl_proxy_enable” параметрлері mod_ssl ішінен негізгі толтыруға (негізгі) жылжытылды. Mod_proxy арқылы қосылымдарды қорғау үшін балама SSL модульдерін пайдалануға болады. Шифрланған трафикті талдау үшін wireshark жүйесінде пайдалануға болатын жеке кілттерді тіркеу мүмкіндігі қосылды.
- mod_proxy ішінде "прокси:" URL мекенжайына өткен unix ұяшығы жолдарын талдау жеделдетілді.
- ACME (Automatic Certificate Management Environment) хаттамасын пайдалана отырып, сертификаттарды алуды және техникалық қызмет көрсетуді автоматтандыру үшін пайдаланылатын mod_md модулінің мүмкіндіктері кеңейтілді. Домендерді тырнақшалармен қоршауға рұқсат етіледі және виртуалды хосттармен байланыспаған домен атаулары үшін tls-alpn-01 қолдауын қамтамасыз етті.
- «Рұқсат ету» тізімінің аргументтері арасында конфигурацияланбаған хост атауларын көрсетуге тыйым салатын StrictHostCheck параметрі қосылды.
Ақпарат көзі: opennet.ru