Išleistas Apache HTTP serveris 2.4.49, kuriame yra 27 pakeitimai ir pašalintos 5 spragos:
- CVE-2021-33193 – mod_http2 yra jautrus naujam „HTTP užklausų kontrabandos“ atakos variantui, kuris leidžia, siunčiant specialiai sukurtas klientų užklausas, įsiterpti į kitų vartotojų užklausų turinį, perduodamą per mod_proxy (pvz., galite pasiekti, kad kenkėjiškas JavaScript kodas būtų įterptas į kito svetainės vartotojo seansą).
- CVE-2021-40438 yra SSRF (Server Side Request Forgery) pažeidžiamumas mod_proxy, leidžiantis nukreipti užklausą į užpuoliko pasirinktą serverį siunčiant specialiai sukurtą uri-path užklausą.
- CVE-2021-39275 – Buferio perpildymas funkcijoje ap_escape_quotes. Pažeidžiamumas pažymėtas kaip gerybinis, nes visi standartiniai moduliai šiai funkcijai neperduoda išorinių duomenų. Tačiau teoriškai įmanoma, kad yra trečiųjų šalių modulių, per kuriuos galima įvykdyti ataką.
- CVE-2021-36160 – Mod_proxy_uwsgi modulio nuskaitymai, kurie viršija ribas, sukelia strigtį.
- CVE-2021-34798 – NULL žymeklio nuoroda, sukelianti proceso strigtį apdorojant specialiai sukurtas užklausas.
Ryškiausi su saugumu nesusiję pokyčiai:
- Gana daug vidinių mod_ssl pakeitimų. Nustatymai „ssl_engine_set“, „ssl_engine_disable“ ir „ssl_proxy_enable“ buvo perkelti iš mod_ssl į pagrindinį užpildymą (šerdį). Norint apsaugoti ryšius per mod_proxy, galima naudoti alternatyvius SSL modulius. Pridėta galimybė registruoti privačius raktus, kurie gali būti naudojami Wireshark analizuojant užšifruotą srautą.
- „Mod_proxy“ paspartintas „Unix“ lizdo kelių, perduodamų į „proxy:“ URL, analizė.
- Išplėstos modulio mod_md, naudojamo sertifikatų gavimo ir priežiūros automatizavimui naudojant ACME (Automatic Certificate Management Environment) protokolą, galimybės. Domenus leidžiama apsupti kabutėmis ir suteikė tls-alpn-01 palaikymą domenų pavadinimams, nesusietiems su virtualiais pagrindiniais kompiuteriais.
- Pridėtas parametras StrictHostCheck, kuris draudžia nurodyti nesukonfigūruotus pagrindinio kompiuterio pavadinimus tarp „leisti“ sąrašo argumentų.
Šaltinis: opennet.ru