ProHoster > Блог > rongo ipurangi > Apache 2.4.49 http tuku tūmau me nga whakaraerae kua whakaritea

Apache 2.4.49 http tuku tūmau me nga whakaraerae kua whakaritea

Kua whakaputaina te tukunga tūmau HTTP Apache 2.4.49, e whakaatu ana i nga huringa 27 me te whakatika i nga whakaraeraetanga 5:

  • CVE-2021-33193 - Ko te mod_http2 ka ngawari ki tetahi momo hou o te whakaeke "HTTP Request Smuggling", ka taea, ma te tuku i nga tono a nga kiritaki kua hoahoatia, ki te uru ki roto i nga korero o nga tono a etahi atu kaiwhakamahi i tukuna ma te mod_proxy (hei tauira, ka taea e koe te whakatutuki i te whakauru o te waehere JavaScript kino ki roto i te waahi o tetahi atu kaiwhakamahi o te pae) .
  • Ko te CVE-2021-40438 he whakaraeraetanga SSRF (Server Side Request Forgery) i roto i te mod_proxy, e taea ai te tono kia tukuna atu ki tetahi tūmau i tohua e te kaitukino ma te tuku tono ara-uri i hangaia.
  • CVE-2021-39275 - Puawai puhake i roto i te mahi ap_escape_quotes. Ko te whakaraeraetanga ka tohua he pai na te mea kaore nga waahanga paerewa katoa e tuku raraunga o waho ki tenei mahi. Engari ko te tikanga he waahanga tuatoru-tuatoru e taea ai te whakaeke.
  • CVE-2021-36160 - Ka panui i waho o te rohe i roto i te kōwae mod_proxy_uwsgi ka pakaru.
  • CVE-2021-34798 - He tohu tohu NULL ka pakaru te tukanga i te wa e tukatuka ana i nga tono i hangaia motuhake.

Ko nga huringa kore-haumaru tino rongonui ko:

  • He maha nga huringa o roto i te mod_ssl. Ko nga tautuhinga "ssl_engine_set", "ssl_engine_disable" me "ssl_proxy_enable" kua nekehia mai i te mod_ssl ki te whakakii matua (matua). Ka taea te whakamahi i etahi atu waahanga SSL hei tiaki i nga hononga ma te mod_proxy. Kua taapirihia te kaha ki te takiuru ki nga taviri tūmataiti, ka taea te whakamahi i te wireshark ki te tātari i nga waka whakamunatia.
  • I roto i te mod_proxy, kua whakaterehia te porotiti o nga ara turanga unix ki te "takawaenga:" URL.
  • Ko nga kaha o te waahanga mod_md, i whakamahia hei whakaaunoa i te whiwhinga me te tiaki i nga tiwhikete ma te whakamahi i te kawa ACME (Taiao Whakahaere Tiwhikete Aunoa), kua whakawhānuihia. Ka whakaaetia kia karapotia nga rohe me nga korukī i roto me te tautoko mo tls-alpn-01 mo nga ingoa rohe kaore i te hono ki nga kaihautu mariko.
  • I taapirihia te tawhā StrictHostCheck, e aukati ana i te tautuhi i nga ingoa kaihautu kaore i whirihorahia i waenga i nga tohenga rarangi "whakaae".

Source: opennet.ru

Tāpiri i te kōrero