Apache HTTP ಸರ್ವರ್ 2.4.49 ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ, 27 ಬದಲಾವಣೆಗಳನ್ನು ಪರಿಚಯಿಸಲಾಗಿದೆ ಮತ್ತು 5 ದುರ್ಬಲತೆಗಳನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ:
- CVE-2021-33193 - mod_http2 "HTTP ವಿನಂತಿ ಕಳ್ಳಸಾಗಣೆ" ದಾಳಿಯ ಹೊಸ ರೂಪಾಂತರಕ್ಕೆ ಒಳಗಾಗುತ್ತದೆ, ಇದು ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಕ್ಲೈಂಟ್ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ, mod_proxy ಮೂಲಕ ರವಾನಿಸಲಾದ ಇತರ ಬಳಕೆದಾರರಿಂದ ವಿನಂತಿಗಳ ವಿಷಯಗಳಿಗೆ ತನ್ನನ್ನು ತಾನೇ ಬೆಸೆಯಲು ಅನುಮತಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ನೀವು ಸೈಟ್ನ ಇನ್ನೊಬ್ಬ ಬಳಕೆದಾರರ ಸೆಶನ್ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ನ ಅಳವಡಿಕೆಯನ್ನು ಸಾಧಿಸಬಹುದು) .
- CVE-2021-40438 mod_proxy ಯಲ್ಲಿನ SSRF (ಸರ್ವರ್ ಸೈಡ್ ರಿಕ್ವೆಸ್ಟ್ ಫೋರ್ಜರಿ) ದುರ್ಬಲತೆಯಾಗಿದೆ, ಇದು ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ uri-path ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಆಕ್ರಮಣಕಾರರಿಂದ ಆಯ್ಕೆ ಮಾಡಿದ ಸರ್ವರ್ಗೆ ವಿನಂತಿಯನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
- CVE-2021-39275 - ap_escape_quotes ಫಂಕ್ಷನ್ನಲ್ಲಿ ಬಫರ್ ಓವರ್ಫ್ಲೋ. ಎಲ್ಲಾ ಪ್ರಮಾಣಿತ ಮಾಡ್ಯೂಲ್ಗಳು ಈ ಕಾರ್ಯಕ್ಕೆ ಬಾಹ್ಯ ಡೇಟಾವನ್ನು ರವಾನಿಸದ ಕಾರಣ ದುರ್ಬಲತೆಯನ್ನು ಹಾನಿಕರವಲ್ಲ ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ. ಆದರೆ ಸೈದ್ಧಾಂತಿಕವಾಗಿ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಮಾಡ್ಯೂಲ್ಗಳ ಮೂಲಕ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದಾಗಿದೆ.
- CVE-2021-36160 - mod_proxy_uwsgi ಮಾಡ್ಯೂಲ್ನಲ್ಲಿನ ಔಟ್-ಆಫ್-ಬೌಂಡ್ಗಳು ಕ್ರ್ಯಾಶ್ಗೆ ಕಾರಣವಾಗುತ್ತವೆ.
- CVE-2021-34798 - ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ವಿನಂತಿಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಪ್ರಕ್ರಿಯೆಯ ಕುಸಿತಕ್ಕೆ ಕಾರಣವಾಗುವ ಶೂನ್ಯ ಪಾಯಿಂಟರ್ ನಿರಾಕರಣೆ.
ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ಭದ್ರತೆಯಲ್ಲದ ಬದಲಾವಣೆಗಳೆಂದರೆ:
- mod_ssl ನಲ್ಲಿ ಸಾಕಷ್ಟು ಆಂತರಿಕ ಬದಲಾವಣೆಗಳು. "ssl_engine_set", "ssl_engine_disable" ಮತ್ತು "ssl_proxy_enable" ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು mod_ssl ನಿಂದ ಮುಖ್ಯ ಭರ್ತಿಗೆ (ಕೋರ್) ಸರಿಸಲಾಗಿದೆ. mod_proxy ಮೂಲಕ ಸಂಪರ್ಕಗಳನ್ನು ರಕ್ಷಿಸಲು ಪರ್ಯಾಯ SSL ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಿದೆ. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಟ್ರಾಫಿಕ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲು ವೈರ್ಶಾರ್ಕ್ನಲ್ಲಿ ಬಳಸಬಹುದಾದ ಖಾಸಗಿ ಕೀಗಳನ್ನು ಲಾಗ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
- mod_proxy ನಲ್ಲಿ, "ಪ್ರಾಕ್ಸಿ:" URL ಗೆ ರವಾನಿಸಲಾದ unix ಸಾಕೆಟ್ ಪಥಗಳ ಪಾರ್ಸಿಂಗ್ ಅನ್ನು ವೇಗಗೊಳಿಸಲಾಗಿದೆ.
- ACME (ಸ್ವಯಂಚಾಲಿತ ಪ್ರಮಾಣಪತ್ರ ನಿರ್ವಹಣೆ ಪರಿಸರ) ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರಮಾಣಪತ್ರಗಳ ಸ್ವೀಕೃತಿ ಮತ್ತು ನಿರ್ವಹಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಬಳಸಲಾಗುವ mod_md ಮಾಡ್ಯೂಲ್ನ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ವಿಸ್ತರಿಸಲಾಗಿದೆ. ಉಲ್ಲೇಖಗಳೊಂದಿಗೆ ಡೊಮೇನ್ಗಳನ್ನು ಸುತ್ತುವರಿಯಲು ಇದನ್ನು ಅನುಮತಿಸಲಾಗಿದೆ ಮತ್ತು ವರ್ಚುವಲ್ ಹೋಸ್ಟ್ಗಳೊಂದಿಗೆ ಸಂಬಂಧವಿಲ್ಲದ ಡೊಮೇನ್ ಹೆಸರುಗಳಿಗಾಗಿ tls-alpn-01 ಗೆ ಬೆಂಬಲವನ್ನು ಒದಗಿಸಿದೆ.
- StrictHostCheck ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಇದು "ಅನುಮತಿ" ಪಟ್ಟಿ ಆರ್ಗ್ಯುಮೆಂಟ್ಗಳಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡದ ಹೋಸ್ಟ್ ಹೆಸರುಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.
ಮೂಲ: opennet.ru