Apache HTTP сервери 2.4.49 чыгарылды, 27 өзгөртүү киргизип, 5 аялуу жерди жок кылды:
- CVE-2021-33193 - mod_http2 атайын иштелип чыккан кардар суроо-талаптарын жөнөтүү аркылуу mod_proxy аркылуу жөнөтүлгөн башка колдонуучулардын суроо-талаптарынын мазмунуна кирүү мүмкүнчүлүгүн берген "HTTP Request Smuggling" чабуулунун жаңы вариантына дуушар болот (мисалы, сайттын башка колдонуучусунун сессиясына зыяндуу JavaScript кодун киргизүүгө жетише аласыз).
- CVE-2021-40438 бул mod_proxy ичиндеги SSRF (Сервер тараптын өтүнүчүн жасалмалоо) аялуулугу, ал атайын жасалган uri-жол сурамын жөнөтүү аркылуу сурамды чабуулчу тандаган серверге багыттоого мүмкүндүк берет.
- CVE-2021-39275 - ap_escape_quotes функциясында буфер толуп кетти. Бардык стандарттык модулдар бул функцияга тышкы маалыматтарды өткөрбөй тургандыктан, алсыздык зыянсыз деп белгиленген. Бирок теориялык жактан үчүнчү тараптын модулдары болушу мүмкүн, алар аркылуу чабуул жасалышы мүмкүн.
- CVE-2021-36160 - mod_proxy_uwsgi модулундагы чектен тышкаркы окуулар кыйроого алып келет.
- CVE-2021-34798 - Атайын даярдалган суроо-талаптарды иштеп чыгууда процесстин бузулушуна алып келген NULL көрсөткүчүнүн шилтемеси.
Эң көрүнүктүү коопсуздук эмес өзгөрүүлөр:
- mod_ssl ичинде бир топ ички өзгөрүүлөр. "ssl_engine_set", "ssl_engine_disable" жана "ssl_proxy_enable" жөндөөлөрү mod_sslден негизги толтурууга (негизги) жылдырылды. Бул mod_proxy аркылуу байланыштарды коргоо үчүн альтернативдүү SSL модулдарын колдонууга болот. Шифрленген трафикти талдоо үчүн wiresharkта колдонула турган купуя ачкычтарды каттоо мүмкүнчүлүгү кошулду.
- mod_proxyде, "прокси:" URL дарегине өткөн unix розетка жолдорунун анализи тездетилди.
- ACME (Automatic Certificate Management Environment) протоколун колдонуу менен сертификаттарды алууну жана тейлөөнү автоматташтыруу үчүн колдонулган mod_md модулунун мүмкүнчүлүктөрү кеңейтилди. Домендерди тырмакчалар менен курчоого уруксат берилет жана виртуалдык хосттор менен байланышпаган домендик аталыштар үчүн tls-alpn-01 үчүн колдоо көрсөткөн.
- "Уруксат берүү" тизме аргументтеринин арасында конфигурацияланбаган хост аттарын көрсөтүүгө тыюу салган StrictHostCheck параметри кошулду.
Source: opennet.ru