ProHoster > Blog > nûçeyên înternetê > Serbestberdana Apache 2.4.49 http server bi qelsiyên rastkirî

Serbestberdana Apache 2.4.49 http server bi qelsiyên rastkirî

Pêşkêşkara Apache HTTP 2.4.49 hate berdan, 27 guhertin destnîşan dike û 5 qelsî ji holê radike:

  • CVE-2021-33193 - mod_http2 ji guhertoyek nû ya êrîşa "Qaçaxçîtiya Daxwaza HTTP" re têkildar e, ku dihêle, bi şandina daxwazên xerîdar ên taybetî yên sêwirandî, xwe bixe nav naveroka daxwazên bikarhênerên din ên ku bi mod_proxy ve hatî veguheztin (mînak, hûn dikarin koda JavaScriptê ya xerab di danişîna bikarhênerek din a malperê de têxin hundurê).
  • CVE-2021-40438 di mod_proxy de qelsiyek SSRF (Selpkirina Daxwaza Server Side Request) ye, ku dihêle ku daxwaz ji serverek ku ji hêla êrîşkar ve hatî hilbijartin ve were rêve kirin bi şandina daxwaznameyek uri-rêya ku bi taybetî hatî çêkirin.
  • CVE-2021-39275 - Di fonksiyona ap_escape_quotes de berzbûna tamponê. Zehfbûn wekî belengaz tê nîşankirin ji ber ku hemî modulên standard daneyên derveyî ji vê fonksiyonê re derbas nakin. Lê ji hêla teorîkî ve gengaz e ku modulên partiya sêyemîn hene ku bi wan re êrîşek were kirin.
  • CVE-2021-36160 - Di modula mod_proxy_uwsgi de derveyî sînoran dixwîne û dibe sedema qezayê.
  • CVE-2021-34798 - Referansek nîşana NULL ku dema ku daxwazên taybetî hatine çêkirin dibe sedema têkçûna pêvajoyê.

Guhertinên ne-ewlehî yên herî berbiçav ev in:

  • Di mod_ssl de gelek guhertinên navxweyî. Mîhengên "ssl_engine_set", "ssl_engine_disable" û "ssl_proxy_enable" ji mod_ssl hatine veguheztin bo dagirtina sereke (bingeh). Mimkun e ku meriv modulên SSL-ya alternatîf bikar bîne da ku pêwendiyan bi mod_proxy biparêze. Kapasîteya qeydkirina mifteyên taybet, ku dikare di wireshark de were bikar anîn da ku seyrûsefera şîfrekirî analîz bike, zêde kir.
  • Di mod_proxy de, parkirina riyên soketên unix-ê yên ku di nav URL-ya "proxy:" de derbas bûne lez kirin.
  • Kapasîteyên modulê mod_md, ku ji bo otomatîkkirina wergirtin û domandina sertîfîkayan bi karanîna protokola ACME (Jîngeha Rêvebiriya Sertîfîka Xweser) tê bikar anîn, hatine berfireh kirin. Destûr e ku meriv domanan bi navdêran dorpêç bike û piştgirî da tls-alpn-01 ji bo navên domainê ku bi hosteyên virtual re ne têkildar in.
  • Parametreya StrictHostCheck lê zêde kir da ku navên mêvandar ên nemîhengkirî nekevin nav argumanên lîsteya "destûr".

Source: opennet.ru

Add a comment