ការចេញផ្សាយម៉ាស៊ីនមេ Apache 2.4.49 http ជាមួយនឹងភាពងាយរងគ្រោះត្រូវបានជួសជុល

ម៉ាស៊ីនមេ Apache HTTP 2.4.49 ត្រូវបានចេញផ្សាយ ដោយណែនាំការផ្លាស់ប្តូរចំនួន 27 និងលុបបំបាត់ភាពងាយរងគ្រោះចំនួន 5៖

• CVE-2021-33193 - mod_http2 ងាយនឹងបំរែបំរួលថ្មីនៃការវាយប្រហារ "HTTP Request Smuggling" ដែលអនុញ្ញាតឱ្យដោយការផ្ញើសំណើរបស់អតិថិជនដែលបានរចនាជាពិសេស ដើម្បីភ្ជាប់ខ្លួនវាទៅក្នុងខ្លឹមសារនៃសំណើពីអ្នកប្រើប្រាស់ផ្សេងទៀតដែលបានបញ្ជូនតាមរយៈ mod_proxy (ឧទាហរណ៍ អ្នក​អាច​សម្រេច​បាន​នូវ​ការ​បញ្ចូល​កូដ JavaScript ព្យាបាទ​ទៅ​ក្នុង​វគ្គ​នៃ​អ្នក​ប្រើ​ផ្សេង​ទៀត​នៃ​គេហទំព័រ)។
• CVE-2021-40438 គឺជាភាពងាយរងគ្រោះ SSRF (Server Side Request Forgery) នៅក្នុង mod_proxy ដែលអនុញ្ញាតឱ្យសំណើត្រូវបានបញ្ជូនបន្តទៅកាន់ server ដែលត្រូវបានជ្រើសរើសដោយអ្នកវាយប្រហារដោយផ្ញើសំណើរ uri-path ដែលបង្កើតជាពិសេស។
• CVE-2021-39275 - ផ្ទុកលើសចំណុះនៅក្នុងមុខងារ ap_escape_quotes ។ ភាពងាយរងគ្រោះត្រូវបានសម្គាល់ថាមានលក្ខណៈស្រាល ដោយសារម៉ូឌុលស្តង់ដារទាំងអស់មិនបញ្ជូនទិន្នន័យខាងក្រៅទៅកាន់មុខងារនេះទេ។ ប៉ុន្តែវាអាចទៅរួចតាមទ្រឹស្តីដែលថាមានម៉ូឌុលភាគីទីបីដែលការវាយប្រហារអាចត្រូវបានអនុវត្ត។
• CVE-2021-36160 - ការអានក្រៅព្រំដែននៅក្នុងម៉ូឌុល mod_proxy_uwsgi ដែលបណ្តាលឱ្យគាំង។
• CVE-2021-34798 - សេចក្តីយោងទ្រនិច NULL ដែលបណ្តាលឱ្យដំណើរការគាំងនៅពេលដំណើរការសំណើដែលបង្កើតជាពិសេស។

ការផ្លាស់ប្តូរដែលមិនមានសុវត្ថិភាពបំផុតគឺ៖

• ការផ្លាស់ប្តូរខាងក្នុងជាច្រើននៅក្នុង mod_ssl ។ ការកំណត់ “ssl_engine_set”, “ssl_engine_disable” និង “ssl_proxy_enable” ត្រូវបានផ្លាស់ប្តូរពី mod_ssl ទៅជាការបំពេញមេ (ស្នូល)។ វាអាចទៅរួចក្នុងការប្រើម៉ូឌុល SSL ជំនួសដើម្បីការពារការតភ្ជាប់តាមរយៈ mod_proxy ។ បានបន្ថែមសមត្ថភាពក្នុងការកត់ត្រាសោឯកជន ដែលអាចត្រូវបានប្រើនៅក្នុង wireshark ដើម្បីវិភាគចរាចរដែលបានអ៊ិនគ្រីប។
• នៅក្នុង mod_proxy ការញែកផ្លូវរន្ធ unix ចូលទៅក្នុង “ប្រូកស៊ី៖” URL ត្រូវបានពន្លឿន។
• សមត្ថភាពនៃម៉ូឌុល mod_md ដែលប្រើដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការទទួល និងការថែរក្សាវិញ្ញាបនបត្រដោយប្រើពិធីការ ACME (បរិស្ថានគ្រប់គ្រងវិញ្ញាបនប័ត្រដោយស្វ័យប្រវត្តិ) ត្រូវបានពង្រីក។ វា​ត្រូវ​បាន​អនុញ្ញាត​ឱ្យ​ឡោម​ព័ទ្ធ​ដែន​ដោយ​មាន​សម្រង់​ចូល និងបានផ្តល់ការគាំទ្រសម្រាប់ tls-alpn-01 សម្រាប់ឈ្មោះដែនដែលមិនមានទំនាក់ទំនងជាមួយម៉ាស៊ីននិម្មិត។
• បានបន្ថែមប៉ារ៉ាម៉ែត្រ StrictHostCheck ដែលហាមឃាត់ការបញ្ជាក់ឈ្មោះម៉ាស៊ីនដែលមិនបានកំណត់រចនាសម្ព័ន្ធក្នុងចំណោមអាគុយម៉ង់បញ្ជី "អនុញ្ញាត" ។

ប្រភព: opennet.ru