рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдЗрдВрдЯрд░рдиреЗрдЯ рдмрд╛рддрдореНрдпрд╛ > Apache 2.4.49 HTTP рд╕рд░реНрд╡реНрд╣рд░ рд░рд┐рд▓реАрдЭ рдЕрд╕реБрд░рдХреНрд╖рд╛ рдирд┐рд╢реНрдЪрд┐рдд

Apache 2.4.49 HTTP рд╕рд░реНрд╡реНрд╣рд░ рд░рд┐рд▓реАрдЭ рдЕрд╕реБрд░рдХреНрд╖рд╛ рдирд┐рд╢реНрдЪрд┐рдд

Apache HTTP рд╕рд░реНрд╡реНрд╣рд░ 2.4.49 рд░рд┐рд▓реАрдЭ рдХреЗрд▓реЗ рдЧреЗрд▓реЗ рдЖрд╣реЗ, 27 рдмрджрд▓ рд╕рд╛рджрд░ рдХрд░рдд рдЖрд╣реЗ рдЖрдгрд┐ 5 рднреЗрджреНрдпрддрд╛ рджреВрд░ рдХрд░рдд рдЖрд╣реЗ:

  • CVE-2021-33193 - mod_http2 "HTTP рд╡рд┐рдирдВрддреА рд╕реНрдордЧрд▓рд┐рдВрдЧ" рд╣рд▓реНрд▓реНрдпрд╛рдЪреНрдпрд╛ рдирд╡реАрди рдкреНрд░рдХрд╛рд░рд╛рд╕рд╛рдареА рд╕рдВрд╡реЗрджрдирд╛рдХреНрд╖рдо рдЖрд╣реЗ, рдЬреЗ, рд╡рд┐рд╢реЗрд╖ рдбрд┐рдЭрд╛рдЗрди рдХреЗрд▓реЗрд▓реНрдпрд╛ рдХреНрд▓рд╛рдпрдВрдЯ рд╡рд┐рдирдВрддреНрдпрд╛ рдкрд╛рдард╡реВрди, mod_proxy рджреНрд╡рд╛рд░реЗ рдкреНрд░рд╕рд╛рд░рд┐рдд рдХреЗрд▓реЗрд▓реНрдпрд╛ рдЗрддрд░ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдВрдХрдбреВрди рд╡рд┐рдирдВрддреНрдпрд╛рдВрдордзреАрд▓ рд╕рд╛рдордЧреНрд░реАрдордзреНрдпреЗ рд╕реНрд╡рддрдГрд▓рд╛ рдЬреЛрдбреВ рджреЗрддреЗ (рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рдЖрдкрдг рд╕рд╛рдЗрдЯрдЪреНрдпрд╛ рджреБрд╕рд░реНрдпрд╛ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдЪреНрдпрд╛ рд╕рддреНрд░рд╛рдд рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг JavaScript рдХреЛрдб рд╕рдорд╛рд╡рд┐рд╖реНрдЯ рдХрд░реВ рд╢рдХрддрд╛) .
  • CVE-2021-40438 рд╣реА mod_proxy рдордзреАрд▓ рдПрдХ SSRF (рд╕рд░реНрд╡реНрд╣рд░ рд╕рд╛рдЗрдб рд░рд┐рдХреНрд╡реЗрд╕реНрдЯ рдлреЛрд░реНрдЬрд░реА) рднреЗрджреНрдпрддрд╛ рдЖрд╣реЗ, рдЬреА рд╡рд┐рдирдВрддреАрд▓рд╛ рдЦрд╛рд╕ рддрдпрд╛рд░ рдХреЗрд▓реЗрд▓реА uri-path рд╡рд┐рдирдВрддреА рдкрд╛рдард╡реВрди рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдиреЗ рдирд┐рд╡рдбрд▓реЗрд▓реНрдпрд╛ рд╕рд░реНрд╡реНрд╣рд░рд╡рд░ рдкреБрдирд░реНрдирд┐рд░реНрджреЗрд╢рд┐рдд рдХрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрддреЗ.
  • CVE-2021-39275 - ap_escape_quotes рдлрдВрдХреНрд╢рдирдордзреНрдпреЗ рдмрдлрд░ рдУрд╡реНрд╣рд░рдлреНрд▓реЛ. рднреЗрджреНрдпрддрд╛ рд╕реМрдореНрдп рдореНрд╣рдгреВрди рдЪрд┐рдиреНрд╣рд╛рдВрдХрд┐рдд рдХреЗрд▓реА рдЖрд╣реЗ рдХрд╛рд░рдг рд╕рд░реНрд╡ рдорд╛рдирдХ рдореЙрдбреНрдпреВрд▓ рдпрд╛ рдХрд╛рд░реНрдпрд╛рд╕рд╛рдареА рдмрд╛рд╣реНрдп рдбреЗрдЯрд╛ рдкрд╛рд╕ рдХрд░рдд рдирд╛рд╣реАрдд. рдкрд░рдВрддреБ рд╣реЗ рд╕реИрджреНрдзрд╛рдВрддрд┐рдХрджреГрд╖реНрдЯреНрдпрд╛ рд╢рдХреНрдп рдЖрд╣реЗ рдХреА рддреЗрдереЗ рддреГрддреАрдп-рдкрдХреНрд╖ рдореЙрдбреНрдпреВрд▓ рдЖрд╣реЗрдд рдЬреНрдпрд╛рджреНрд╡рд╛рд░реЗ рд╣рд▓реНрд▓рд╛ рдХреЗрд▓рд╛ рдЬрд╛рдК рд╢рдХрддреЛ.
  • CVE-2021-36160 - mod_proxy_uwsgi рдореЙрдбреНрдпреБрд▓рдордзреНрдпреЗ рд╕реАрдореЗрдмрд╛рд╣реЗрд░рдЪреЗ рд╡рд╛рдЪрди рдХреНрд░реЕрд╢ рд╣реЛрдК рд╢рдХрддреЗ.
  • CVE-2021-34798 - рд╡рд┐рд╢реЗрд╖ рддрдпрд╛рд░ рдХреЗрд▓реЗрд▓реНрдпрд╛ рд╡рд┐рдирдВрддреНрдпрд╛рдВрд╡рд░ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд░рддрд╛рдирд╛ рдПрдХ NULL рдкреЙрдЗрдВрдЯрд░ рдбрд┐рд░реЗрдлрд░рдиреНрд╕рдореБрд│реЗ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреНрд░реЕрд╢ рд╣реЛрддреЗ.

рд╕рд░реНрд╡рд╛рдд рд▓рдХреНрд╖рдгреАрдп рдЧреИрд░-рд╕реБрд░рдХреНрд╖рд╛ рдмрджрд▓:

  • mod_ssl рдордзреНрдпреЗ рдмрд░реЗрдЪ рдЕрдВрддрд░реНрдЧрдд рдмрджрд▓. рд╕реЗрдЯрд┐рдВрдЧреНрдЬ тАЬssl_engine_setтАЭ, тАЬssl_engine_disableтАЭ рдЖрдгрд┐ тАЬssl_proxy_enableтАЭ mod_ssl рд╡рд░реВрди рдореБрдЦреНрдп рдлрд┐рд▓рд┐рдВрдЧ (рдХреЛрд░) рд╡рд░ рд╣рд▓рд╡рдгреНрдпрд╛рдд рдЖрд▓реНрдпрд╛ рдЖрд╣реЗрдд. mod_proxy рджреНрд╡рд╛рд░реЗ рдХрдиреЗрдХреНрд╢рдирдЪреЗ рд╕рдВрд░рдХреНрд╖рдг рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдкрд░реНрдпрд╛рдпреА SSL рдореЙрдбреНрдпреВрд▓реНрд╕ рд╡рд╛рдкрд░рдгреЗ рд╢рдХреНрдп рдЖрд╣реЗ. рдЦрд╛рдЬрдЧреА рдХреА рд▓реЙрдЧ рдХрд░рдгреНрдпрд╛рдЪреА рдХреНрд╖рдорддрд╛ рдЬреЛрдбрд▓реА, рдЬреА рдПрдирдХреНрд░рд┐рдкреНрдЯреЗрдб рд░рд╣рджрд╛рд░реАрдЪреЗ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╡рд╛рдпрд░рд╢рд╛рд░реНрдХрдордзреНрдпреЗ рд╡рд╛рдкрд░рд▓реА рдЬрд╛рдК рд╢рдХрддреЗ.
  • mod_proxy рдордзреНрдпреЗ, "рдкреНрд░реЙрдХреНрд╕реА:" URL рдордзреНрдпреЗ рдкрд╛рд╕ рдХреЗрд▓реЗрд▓реНрдпрд╛ рдпреБрдирд┐рдХреНрд╕ рд╕реЙрдХреЗрдЯ рдкрдерд╛рдВрдЪреЗ рдкрд╛рд░реНрд╕рд┐рдВрдЧ рд╡реЗрдЧрд╡рд╛рди рдХреЗрд▓реЗ рдЧреЗрд▓реЗ рдЖрд╣реЗ.
  • ACME (рдСрдЯреЛрдореЕрдЯрд┐рдХ рд╕рд░реНрдЯрд┐рдлрд┐рдХреЗрдЯ рдореЕрдиреЗрдЬрдореЗрдВрдЯ рдПрдиреНрд╡реНрд╣рд╛рдпрд░реНрдирдореЗрдВрдЯ) рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рд╡рд╛рдкрд░реВрди рдкреНрд░рдорд╛рдгрдкрддреНрд░рд╛рдВрдЪреА рдкрд╛рд╡рддреА рдЖрдгрд┐ рджреЗрдЦрднрд╛рд▓ рд╕реНрд╡рдпрдВрдЪрд▓рд┐рдд рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╡рд╛рдкрд░рд▓реНрдпрд╛ рдЬрд╛рдгрд╛рд░реНтАНрдпрд╛ mod_md рдореЙрдбреНрдпреВрд▓рдЪреА рдХреНрд╖рдорддрд╛ рд╡рд╛рдврд╡рд▓реА рдЧреЗрд▓реА рдЖрд╣реЗ. рдордзреНрдпреЗ рдЕрд╡рддрд░рдгрд╛рдВрд╕рд╣ рдбреЛрдореЗрди рдШреЗрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рдЖрд╣реЗ рдЖрдгрд┐ рдЖрднрд╛рд╕реА рд╣реЛрд╕реНрдЯрд╢реА рд╕рдВрдмрдВрдзрд┐рдд рдирд╕рд▓реЗрд▓реНрдпрд╛ рдбреЛрдореЗрди рдирд╛рд╡рд╛рдВрд╕рд╛рдареА tls-alpn-01 рд╕рд╛рдареА рд╕рдорд░реНрдерди рдкреНрд░рджрд╛рди рдХреЗрд▓реЗ.
  • StrictHostCheck рдкреЕрд░рд╛рдореАрдЯрд░ рдЬреЛрдбрд▓реЗ, рдЬреЗ "рдкрд░рд╡рд╛рдирдЧреА рджреНрдпрд╛" рд╕реВрдЪреА рд╡рд┐рддрд░реНрдХрд╛рдВрдордзреНрдпреЗ рдХреЙрдиреНрдлрд┐рдЧрд░ рди рдХреЗрд▓реЗрд▓реА рд╣реЛрд╕реНрдЯрдирд╛рд╡реЗ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдгреНрдпрд╛рд╕ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рддреЗ.

рд╕реНрддреНрд░реЛрдд: opennet.ru

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдЬреЛрдбрд╛