Apache HTTP server 2.4.49 dimissa est, 27 mutationes introducens et nuditates 5 eliminans:
- CVE-2021-33193 - mod_http2 suscipit novam permutationem "HTTP Request Smuggling" oppugnationis, quae concedit, mittens petitiones clientium specialiter designatas, se cuneare in contenta petitionum ab aliis usoribus per mod_proxy traductis (exempli gratia; insertionem malignorum JavaScript codicem consequi potes in sessionem alterius loci usoris).
- CVE-2021-40438 SSRF (Servi latus Request Forgery) vulnerabilitas in mod_proxy, permittit petitionem redirecti ministro electo ab oppugnatore mittendo ad petitionem uri-iter fictam.
- CVE-2021-39275 - Buffer redundantia in functionibus ap_escape_quotis. In vulnerabilitas benigna signatur quod omnes moduli normae externae notitiae ad hoc munus non transeunt. Fieri tamen potest ut tertia pars modulorum per quos impetus expleri possit.
- CVE-2021-36160 - Out-of-fines legit in mod_proxy_uwsgi moduli causans fragorem.
- CVE-2021-34798 - NULLUS monstrator dereferentiae causans fragorem processuum cum speciali modo petitiones conficiendo dispensando.
Praecipuae mutationes securitatis non- sunt:
- Mutationes internae multum in mod_ssl. Occasus "ssl_engine_set", "ssl_engine_disable" et "ssl_proxy_enable" a mod_ssl ad principale impletionem motae sunt. Vel potest uti SSL modulis modo ad nexus tuendi per mod_proxy. Facultatem ad claves privatas logas addidit, quae in wireshark adhiberi possunt ad negotiationis encrypted analysim.
- In mod_proxy, parsing viae unix nervus in "procuratorem" transiit: Domicilium acceleratum est.
- Facultates mod_m moduli moduli, receptae et conservationis libellorum utens ACME (Automatic Certificate Management Environment) protocollo automate auctae sunt. Liceat citare domain in et subsidia praebere pro tls-alpn-01 ad nomina domain non coniungenda cum exercitibus virtualibus.
- Addidit parametrum StrictHostCheck, quod prohibet nominationes informaticas specificare inter argumenta "permittere".
Source: opennet.ru