🥇취약점이 수정된 Apache 2.4.49 http 서버 출시

Apache HTTP 서버 2.4.49이 출시되어 27가지 변경 사항이 도입되고 5가지 취약점이 제거되었습니다.

CVE-2021-33193 - mod_http2는 "HTTP 요청 스머글링(HTTP Request Smuggling)" 공격의 새로운 변종에 취약합니다. 이 공격은 특별히 고안된 클라이언트 요청을 전송하여 mod_proxy를 통해 전송된 다른 사용자의 요청 내용에 자신을 끼워 넣을 수 있습니다(예: 사이트의 다른 사용자 세션에 악성 JavaScript 코드를 삽입할 수 있습니다.
CVE-2021-40438은 mod_proxy의 SSRF(서버 측 요청 위조) 취약점으로, 특별히 제작된 uri-path 요청을 보내 공격자가 선택한 서버로 요청을 리디렉션할 수 있습니다.
CVE-2021-39275 - ap_escape_quotes 함수에서 버퍼 오버플로가 발생합니다. 모든 표준 모듈이 이 함수에 외부 데이터를 전달하지 않기 때문에 취약점은 양성으로 표시됩니다. 그러나 공격을 수행할 수 있는 타사 모듈이 이론적으로 가능합니다.
CVE-2021-36160 - mod_proxy_uwsgi 모듈에서 범위를 벗어난 읽기로 인해 충돌이 발생합니다.
CVE-2021-34798 - 특수 제작된 요청을 처리할 때 프로세스 충돌을 일으키는 NULL 포인터 역참조입니다.

가장 주목할만한 비보안 변경 사항은 다음과 같습니다.

mod_ssl의 내부 변경 사항이 상당히 많습니다. "ssl_engine_set", "ssl_engine_disable" 및 "ssl_proxy_enable" 설정이 mod_ssl에서 기본 채우기(코어)로 이동되었습니다. mod_proxy를 통한 연결을 보호하기 위해 대체 SSL 모듈을 사용할 수 있습니다. Wireshark에서 암호화된 트래픽을 분석하는 데 사용할 수 있는 개인 키를 기록하는 기능이 추가되었습니다.
mod_proxy에서는 "proxy:" URL에 전달된 Unix 소켓 경로의 구문 분석이 가속화되었습니다.
ACME(자동 인증서 관리 환경) 프로토콜을 사용하여 인증서 수신 및 유지 관리를 자동화하는 데 사용되는 mod_md 모듈의 기능이 확장되었습니다. 도메인을 따옴표로 묶을 수 있습니다. 가상 호스트와 연결되지 않은 도메인 이름에 대해 tls-alpn-01에 대한 지원을 제공했습니다.
"허용" 목록 인수 중에서 구성되지 않은 호스트 이름을 지정하는 것을 금지하는 StrictHostCheck 매개 변수가 추가되었습니다.

취약점이 수정된 Apache 2.4.49 http 서버 출시