ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ದೋಷಗಳನ್ನು ನಿವಾರಿಸಿದ Apache 2.4.49 http ಸರ್ವರ್‌ನ ಬಿಡುಗಡೆ

ದೋಷಗಳನ್ನು ನಿವಾರಿಸಿದ Apache 2.4.49 http ಸರ್ವರ್‌ನ ಬಿಡುಗಡೆ

Apache HTTP ಸರ್ವರ್ 2.4.49 ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ, 27 ಬದಲಾವಣೆಗಳನ್ನು ಪರಿಚಯಿಸಲಾಗಿದೆ ಮತ್ತು 5 ದುರ್ಬಲತೆಗಳನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ:

  • CVE-2021-33193 - mod_http2 "HTTP ವಿನಂತಿ ಕಳ್ಳಸಾಗಣೆ" ದಾಳಿಯ ಹೊಸ ರೂಪಾಂತರಕ್ಕೆ ಒಳಗಾಗುತ್ತದೆ, ಇದು ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಕ್ಲೈಂಟ್ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ, mod_proxy ಮೂಲಕ ರವಾನಿಸಲಾದ ಇತರ ಬಳಕೆದಾರರಿಂದ ವಿನಂತಿಗಳ ವಿಷಯಗಳಿಗೆ ತನ್ನನ್ನು ತಾನೇ ಬೆಸೆಯಲು ಅನುಮತಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ನೀವು ಸೈಟ್‌ನ ಇನ್ನೊಬ್ಬ ಬಳಕೆದಾರರ ಸೆಶನ್‌ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್‌ನ ಅಳವಡಿಕೆಯನ್ನು ಸಾಧಿಸಬಹುದು) .
  • CVE-2021-40438 mod_proxy ಯಲ್ಲಿನ SSRF (ಸರ್ವರ್ ಸೈಡ್ ರಿಕ್ವೆಸ್ಟ್ ಫೋರ್ಜರಿ) ದುರ್ಬಲತೆಯಾಗಿದೆ, ಇದು ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ uri-path ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಆಕ್ರಮಣಕಾರರಿಂದ ಆಯ್ಕೆ ಮಾಡಿದ ಸರ್ವರ್‌ಗೆ ವಿನಂತಿಯನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
  • CVE-2021-39275 - ap_escape_quotes ಫಂಕ್ಷನ್‌ನಲ್ಲಿ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ. ಎಲ್ಲಾ ಪ್ರಮಾಣಿತ ಮಾಡ್ಯೂಲ್‌ಗಳು ಈ ಕಾರ್ಯಕ್ಕೆ ಬಾಹ್ಯ ಡೇಟಾವನ್ನು ರವಾನಿಸದ ಕಾರಣ ದುರ್ಬಲತೆಯನ್ನು ಹಾನಿಕರವಲ್ಲ ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ. ಆದರೆ ಸೈದ್ಧಾಂತಿಕವಾಗಿ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಮಾಡ್ಯೂಲ್‌ಗಳ ಮೂಲಕ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದಾಗಿದೆ.
  • CVE-2021-36160 - mod_proxy_uwsgi ಮಾಡ್ಯೂಲ್‌ನಲ್ಲಿನ ಔಟ್-ಆಫ್-ಬೌಂಡ್‌ಗಳು ಕ್ರ್ಯಾಶ್‌ಗೆ ಕಾರಣವಾಗುತ್ತವೆ.
  • CVE-2021-34798 - ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ವಿನಂತಿಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಪ್ರಕ್ರಿಯೆಯ ಕುಸಿತಕ್ಕೆ ಕಾರಣವಾಗುವ ಶೂನ್ಯ ಪಾಯಿಂಟರ್ ನಿರಾಕರಣೆ.

ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ಭದ್ರತೆಯಲ್ಲದ ಬದಲಾವಣೆಗಳೆಂದರೆ:

  • mod_ssl ನಲ್ಲಿ ಸಾಕಷ್ಟು ಆಂತರಿಕ ಬದಲಾವಣೆಗಳು. "ssl_engine_set", "ssl_engine_disable" ಮತ್ತು "ssl_proxy_enable" ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು mod_ssl ನಿಂದ ಮುಖ್ಯ ಭರ್ತಿಗೆ (ಕೋರ್) ಸರಿಸಲಾಗಿದೆ. mod_proxy ಮೂಲಕ ಸಂಪರ್ಕಗಳನ್ನು ರಕ್ಷಿಸಲು ಪರ್ಯಾಯ SSL ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಿದೆ. ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಟ್ರಾಫಿಕ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲು ವೈರ್‌ಶಾರ್ಕ್‌ನಲ್ಲಿ ಬಳಸಬಹುದಾದ ಖಾಸಗಿ ಕೀಗಳನ್ನು ಲಾಗ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
  • mod_proxy ನಲ್ಲಿ, "ಪ್ರಾಕ್ಸಿ:" URL ಗೆ ರವಾನಿಸಲಾದ unix ಸಾಕೆಟ್ ಪಥಗಳ ಪಾರ್ಸಿಂಗ್ ಅನ್ನು ವೇಗಗೊಳಿಸಲಾಗಿದೆ.
  • ACME (ಸ್ವಯಂಚಾಲಿತ ಪ್ರಮಾಣಪತ್ರ ನಿರ್ವಹಣೆ ಪರಿಸರ) ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರಮಾಣಪತ್ರಗಳ ಸ್ವೀಕೃತಿ ಮತ್ತು ನಿರ್ವಹಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಬಳಸಲಾಗುವ mod_md ಮಾಡ್ಯೂಲ್‌ನ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ವಿಸ್ತರಿಸಲಾಗಿದೆ. ಉಲ್ಲೇಖಗಳೊಂದಿಗೆ ಡೊಮೇನ್‌ಗಳನ್ನು ಸುತ್ತುವರಿಯಲು ಇದನ್ನು ಅನುಮತಿಸಲಾಗಿದೆ ಮತ್ತು ವರ್ಚುವಲ್ ಹೋಸ್ಟ್‌ಗಳೊಂದಿಗೆ ಸಂಬಂಧವಿಲ್ಲದ ಡೊಮೇನ್ ಹೆಸರುಗಳಿಗಾಗಿ tls-alpn-01 ಗೆ ಬೆಂಬಲವನ್ನು ಒದಗಿಸಿದೆ.
  • StrictHostCheck ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಇದು "ಅನುಮತಿ" ಪಟ್ಟಿ ಆರ್ಗ್ಯುಮೆಂಟ್‌ಗಳಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡದ ಹೋಸ್ಟ್ ಹೆಸರುಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ