ProHoster > Blog > Internet Neiegkeeten > Apache 2.4.49 http Server Verëffentlechung mat Schwachstelle fixéiert

Apache 2.4.49 http Server Verëffentlechung mat Schwachstelle fixéiert

Den Apache HTTP-Server 2.4.49 gouf verëffentlecht, 27 Ännerungen agefouert an 5 Schwachstelle eliminéiert:

  • CVE-2021-33193 - mod_http2 ass ufälleg fir eng nei Variant vum "HTTP Request Smuggling" Attack, deen et erlaabt, andeems se speziell entwéckelt Client Ufroe schécken, sech an den Inhalt vun Ufroe vun anere Benotzer iwwer mod_proxy iwwerdroen (zum Beispill, Dir kënnt d'Aféierung vu béiswëllegen JavaScript Code an d'Sessioun vun engem anere Benotzer vum Site erreechen).
  • CVE-2021-40438 ass eng SSRF (Server Side Request Forgery) Schwachstelle am mod_proxy, wat et erlaabt datt d'Ufro op e Server, dee vum Ugräifer gewielt gëtt, ëmgeleet gëtt andeems en eng speziell erstallt Uri-Path Ufro schéckt.
  • CVE-2021-39275 - Buffer Iwwerfloss an der ap_escape_quotes Funktioun. D'Schwachheet gëtt als benign markéiert well all Standardmoduler keng extern Daten un dës Funktioun weiderginn. Awer et ass theoretesch méiglech datt et Drëtt-Partei Moduler gëtt, duerch déi en Attack ka gemaach ginn.
  • CVE-2021-36160 - Out-of-bounds liest am mod_proxy_uwsgi Modul deen e Crash verursaacht.
  • CVE-2021-34798 - Eng NULL Pointer Dereferenz déi e Prozess Crash verursaacht wann Dir speziell erstallt Ufroe veraarbecht.

Déi bemierkenswäert Net-Sécherheetsännerungen:

  • Zimlech vill intern Ännerungen am mod_ssl. D'Astellunge "ssl_engine_set", "ssl_engine_disable" an "ssl_proxy_enable" goufen aus mod_ssl op d'Haaptfüllung (Kär) geplënnert. Et ass méiglech alternativ SSL Moduler ze benotzen fir Verbindungen iwwer mod_proxy ze schützen. D'Fäegkeet bäigefüügt fir privat Schlësselen ze protokolléieren, déi am Wireshark benotzt kënne fir verschlësselte Traffic ze analyséieren.
  • Am mod_proxy ass d'Parsing vun Unix Socket Weeër an d'URL "Proxy:" beschleunegt ginn.
  • D'Kapazitéite vum mod_md Modul, déi benotzt gi fir d'Empfang an d'Ënnerhalt vun Certificaten mat dem ACME (Automatic Certificate Management Environment) Protokoll ze automatiséieren, goufen erweidert. Et ass erlaabt Domainen mat Zitater ze ëmginn a gëtt Ënnerstëtzung fir tls-alpn-01 fir Domain Nimm net mat virtuelle Hosten assoziéiert.
  • De StrictHostCheck Parameter bäigefüügt, dee verbitt d'Spezifikatioun vun onkonfiguréierten Hostnamen ënnert den "allow" Lëscht Argumenter.

Source: opennet.ru

Setzt e Commentaire