Apache HTTP ์๋ฒ 2.4.49์ด ์ถ์๋์ด 27๊ฐ์ง ๋ณ๊ฒฝ ์ฌํญ์ด ๋์ ๋๊ณ 5๊ฐ์ง ์ทจ์ฝ์ ์ด ์ ๊ฑฐ๋์์ต๋๋ค.
- CVE-2021-33193 - mod_http2๋ "HTTP ์์ฒญ ์ค๋จธ๊ธ๋ง(HTTP Request Smuggling)" ๊ณต๊ฒฉ์ ์๋ก์ด ๋ณ์ข ์ ์ทจ์ฝํฉ๋๋ค. ์ด ๊ณต๊ฒฉ์ ํน๋ณํ ๊ณ ์๋ ํด๋ผ์ด์ธํธ ์์ฒญ์ ์ ์กํ์ฌ mod_proxy๋ฅผ ํตํด ์ ์ก๋ ๋ค๋ฅธ ์ฌ์ฉ์์ ์์ฒญ ๋ด์ฉ์ ์์ ์ ๋ผ์ ๋ฃ์ ์ ์์ต๋๋ค(์: ์ฌ์ดํธ์ ๋ค๋ฅธ ์ฌ์ฉ์ ์ธ์ ์ ์ ์ฑ JavaScript ์ฝ๋๋ฅผ ์ฝ์ ํ ์ ์์ต๋๋ค.
- CVE-2021-40438์ mod_proxy์ SSRF(์๋ฒ ์ธก ์์ฒญ ์์กฐ) ์ทจ์ฝ์ ์ผ๋ก, ํน๋ณํ ์ ์๋ uri-path ์์ฒญ์ ๋ณด๋ด ๊ณต๊ฒฉ์๊ฐ ์ ํํ ์๋ฒ๋ก ์์ฒญ์ ๋ฆฌ๋๋ ์ ํ ์ ์์ต๋๋ค.
- CVE-2021-39275 - ap_escape_quotes ํจ์์์ ๋ฒํผ ์ค๋ฒํ๋ก๊ฐ ๋ฐ์ํฉ๋๋ค. ๋ชจ๋ ํ์ค ๋ชจ๋์ด ์ด ํจ์์ ์ธ๋ถ ๋ฐ์ดํฐ๋ฅผ ์ ๋ฌํ์ง ์๊ธฐ ๋๋ฌธ์ ์ทจ์ฝ์ ์ ์์ฑ์ผ๋ก ํ์๋ฉ๋๋ค. ๊ทธ๋ฌ๋ ๊ณต๊ฒฉ์ ์ํํ ์ ์๋ ํ์ฌ ๋ชจ๋์ด ์ด๋ก ์ ์ผ๋ก ๊ฐ๋ฅํฉ๋๋ค.
- CVE-2021-36160 - mod_proxy_uwsgi ๋ชจ๋์์ ๋ฒ์๋ฅผ ๋ฒ์ด๋ ์ฝ๊ธฐ๋ก ์ธํด ์ถฉ๋์ด ๋ฐ์ํฉ๋๋ค.
- CVE-2021-34798 - ํน์ ์ ์๋ ์์ฒญ์ ์ฒ๋ฆฌํ ๋ ํ๋ก์ธ์ค ์ถฉ๋์ ์ผ์ผํค๋ NULL ํฌ์ธํฐ ์ญ์ฐธ์กฐ์ ๋๋ค.
๊ฐ์ฅ ์ฃผ๋ชฉํ ๋งํ ๋น๋ณด์ ๋ณ๊ฒฝ ์ฌํญ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
- mod_ssl์ ๋ด๋ถ ๋ณ๊ฒฝ ์ฌํญ์ด ์๋นํ ๋ง์ต๋๋ค. "ssl_engine_set", "ssl_engine_disable" ๋ฐ "ssl_proxy_enable" ์ค์ ์ด mod_ssl์์ ๊ธฐ๋ณธ ์ฑ์ฐ๊ธฐ(์ฝ์ด)๋ก ์ด๋๋์์ต๋๋ค. mod_proxy๋ฅผ ํตํ ์ฐ๊ฒฐ์ ๋ณดํธํ๊ธฐ ์ํด ๋์ฒด SSL ๋ชจ๋์ ์ฌ์ฉํ ์ ์์ต๋๋ค. Wireshark์์ ์ํธํ๋ ํธ๋ํฝ์ ๋ถ์ํ๋ ๋ฐ ์ฌ์ฉํ ์ ์๋ ๊ฐ์ธ ํค๋ฅผ ๊ธฐ๋กํ๋ ๊ธฐ๋ฅ์ด ์ถ๊ฐ๋์์ต๋๋ค.
- mod_proxy์์๋ "proxy:" URL์ ์ ๋ฌ๋ Unix ์์ผ ๊ฒฝ๋ก์ ๊ตฌ๋ฌธ ๋ถ์์ด ๊ฐ์ํ๋์์ต๋๋ค.
- ACME(์๋ ์ธ์ฆ์ ๊ด๋ฆฌ ํ๊ฒฝ) ํ๋กํ ์ฝ์ ์ฌ์ฉํ์ฌ ์ธ์ฆ์ ์์ ๋ฐ ์ ์ง ๊ด๋ฆฌ๋ฅผ ์๋ํํ๋ ๋ฐ ์ฌ์ฉ๋๋ mod_md ๋ชจ๋์ ๊ธฐ๋ฅ์ด ํ์ฅ๋์์ต๋๋ค. ๋๋ฉ์ธ์ ๋ฐ์ดํ๋ก ๋ฌถ์ ์ ์์ต๋๋ค. ๊ฐ์ ํธ์คํธ์ ์ฐ๊ฒฐ๋์ง ์์ ๋๋ฉ์ธ ์ด๋ฆ์ ๋ํด tls-alpn-01์ ๋ํ ์ง์์ ์ ๊ณตํ์ต๋๋ค.
- "ํ์ฉ" ๋ชฉ๋ก ์ธ์ ์ค์์ ๊ตฌ์ฑ๋์ง ์์ ํธ์คํธ ์ด๋ฆ์ ์ง์ ํ๋ ๊ฒ์ ๊ธ์งํ๋ StrictHostCheck ๋งค๊ฐ ๋ณ์๊ฐ ์ถ๊ฐ๋์์ต๋๋ค.
์ถ์ฒ : opennet.ru