Navoaka ny mpizara Apache HTTP 2.4.52, nampiditra fanovana 25 ary nanafoana ny vulnerability 2:
- CVE-2021-44790 dia fikorianan'ny buffer ao amin'ny mod_lua izay mitranga rehefa mamadika fangatahana marobe. Ny vulnerability dia miantraika amin'ny fandrindrana izay iantsoan'ny script Lua hoe r:parsebody() miasa mba hamakiana ny vatan'ny fangatahana, ahafahan'ny mpanafika miteraka fihoaram-pefy amin'ny alàlan'ny fandefasana fangatahana namboarina manokana. Tsy mbola fantatra ny porofo momba ny fanararaotana, fa ny olana dia mety hitarika amin'ny fanatanterahana ny kaody ao amin'ny server.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) vulnerability amin'ny mod_proxy, izay mamela, amin'ny fanamafisana miaraka amin'ny "ProxyRequests on", amin'ny alàlan'ny fangatahana URI natao manokana, mba hahatratrarana fangatahana famerenana mankany amin'ny mpitantana iray hafa mitovy. mpizara izay manaiky fifandraisana amin'ny alàlan'ny Unix Domain Socket. Ny olana dia azo ampiasaina ihany koa hiteraka fianjerana amin'ny famoronana ny fepetra ho an'ny null pointer dereference. Ny olana dia misy fiantraikany amin'ny dikan-tenin'ny Apache httpd manomboka amin'ny version 2.4.7.
Ny fiovana tsy azo antoka indrindra:
- Fanampiana fanampiny amin'ny fananganana amin'ny tranomboky OpenSSL 3 amin'ny mod_ssl.
- Nohatsaraina ny fitadiavana tranomboky OpenSSL amin'ny script autoconf.
- Ao amin'ny mod_proxy, ho an'ny protocols tunneling, dia azo atao ny manafoana ny famerenana ny fifandraisana TCP antsasaky ny akaiky amin'ny alàlan'ny fametrahana ny "SetEnv proxy-nohalfclose".
- Nanampy fanamarinana fanampiny fa ny URI tsy natao hanaovana proxy dia misy ny tetika http/https, ary ireo natao ho proxy dia misy ny anaran'ny mpampiantrano.
- mod_proxy_connect sy mod_proxy dia tsy mamela ny kaody sata hiova rehefa nalefa tany amin'ny mpanjifa.
- Rehefa mandefa valiny manelanelana aorian'ny fandraisany fangatahana miaraka amin'ny lohatenin'ny "Antenaina: 100-Tohizo", dia ataovy izay hahazoana antoka fa ny valiny dia manondro ny satan'ny "100 Continue" fa tsy ny satan'ny fangatahana ankehitriny.
- mod_dav dia manampy fanohanana ny fanitarana CalDAV, izay mitaky ireo singa antontan-taratasy sy ireo singa fananana ho raisina rehefa mamorona fananana. Nampiana fiasa vaovao dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() ary dav_find_attr(), izay azo antsoina amin'ny modules hafa.
- Ao amin'ny mpm_event, voavaha ny olana amin'ny fampiatoana ny fizotry ny zaza tsy miasa aorian'ny fiakaran'ny entana.
- Mod_http2 dia manana fiovana mihemotra izay niteraka fitondran-tena diso rehefa nitantana ny fameperana MaxRequestsPerChild sy MaxConnectionsPerChild.
- Ny fahaiza-manaon'ny mod_md module, ampiasaina amin'ny automatique ny fandraisana sy ny fikojakojana ny mari-pankasitrahana amin'ny alàlan'ny protocol ACME (Automatic Certificate Management Environment) dia nitarina:
- Fanampiana fanampiny ho an'ny mekanika ACME External Account Binding (EAB), azo ampiasaina amin'ny alàlan'ny torolàlana MDExternalAccountBinding. Ny soatoavina ho an'ny EAB dia azo amboarina avy amin'ny rakitra JSON ivelany, misoroka ny fampiharihariana ny mari-pamantarana fanamarinana ao amin'ny rakitra fikirakirana server lehibe.
- Ny torolalana 'MDCertificateAuthority' dia manome antoka fa ny paramètre URL dia misy http/https na iray amin'ireo anarana efa voafaritra ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' ary 'Buypass-Test').
- Navela hamaritra ny toromarika MDContactEmail ao anatin'ny fizarana .
- Be dia be ny bug maro, ao anatin'izany ny famoriana fitadidiana izay mitranga rehefa tsy nahomby ny fametrahana fanalahidy manokana.
Source: opennet.ru