Apache HTTP сервер 2.4.49 гарсан бөгөөд 27 өөрчлөлт оруулж, 5 эмзэг байдлыг арилгасан байна.
- CVE-2021-33193 - mod_http2 нь "HTTP хүсэлтийг хууль бусаар нэвтрүүлэх" халдлагын шинэ хувилбарт өртөмтгий бөгөөд энэ нь тусгайлан боловсруулсан үйлчлүүлэгчийн хүсэлтийг илгээх замаар mod_proxy-ээр дамжуулсан бусад хэрэглэгчдийн хүсэлтийн агуулгад өөрийгөө оруулах боломжийг олгодог (жишээлбэл, Та сайтын өөр хэрэглэгчийн сессэд хортой JavaScript код оруулах боломжтой).
- CVE-2021-40438 нь mod_proxy дахь SSRF (Server Side Request Forgery) эмзэг байдал бөгөөд тусгайлан боловсруулсан uri-path хүсэлтийг илгээж халдагчийн сонгосон сервер рүү хүсэлтийг дахин чиглүүлэх боломжийг олгодог.
- CVE-2021-39275 - ap_escape_quotes функцийн буфер халилт. Бүх стандарт модулиуд энэ функцэд гадны өгөгдлийг дамжуулдаггүй тул эмзэг байдлыг хоргүй гэж тэмдэглэсэн. Гэхдээ онолын хувьд дайралт хийх боломжтой гуравдагч этгээдийн модулиуд байж магадгүй юм.
- CVE-2021-36160 - mod_proxy_uwsgi модулийн хязгаараас хэтэрсэн уншилтууд нь гэмтэл учруулж байна.
- CVE-2021-34798 - Тусгайлан боловсруулсан хүсэлтийг боловсруулах үед процессын гацах шалтгаан болдог NULL заагч заагч.
Аюулгүй байдлын хамгийн чухал бус өөрчлөлтүүд нь:
- mod_ssl-д маш их дотоод өөрчлөлтүүд орсон. "ssl_engine_set", "ssl_engine_disable" болон "ssl_proxy_enable" тохиргоог mod_ssl-ээс үндсэн дүүргэлт (гол) руу шилжүүлсэн. Mod_proxy-ээр дамжуулан холболтыг хамгаалахын тулд өөр SSL модулиудыг ашиглах боломжтой. Шифрлэгдсэн траффикийг шинжлэхэд wireshark-д ашиглаж болох хувийн түлхүүрүүдийг бүртгэх чадварыг нэмсэн.
- mod_proxy-д "proxy:" URL руу шилжсэн unix залгуурын замуудын задлан шинжилгээг хурдасгасан.
- ACME (Automatic Certificate Management Environment) протоколыг ашиглан гэрчилгээ хүлээн авах, засвар үйлчилгээ хийх үйл явцыг автоматжуулахад ашигладаг mod_md модулийн чадавхийг өргөжүүлсэн. Домэйнуудыг ишлэлээр хүрээлэхийг зөвшөөрнө виртуал хостуудтай холбоогүй домэйн нэрүүдэд зориулсан tls-alpn-01-д дэмжлэг үзүүлсэн.
- "Зөвшөөрөх" жагсаалтын аргументуудын дунд тохируулаагүй хостын нэрийг зааж өгөхийг хориглодог StrictHostCheck параметрийг нэмсэн.
Эх сурвалж: opennet.ru