ProHoster > blog > aħbarijiet fuq l-internet > Rilaxx ta' Apache 2.4.49 http server b'vulnerabbiltajiet iffissati

Rilaxx ta' Apache 2.4.49 http server b'vulnerabbiltajiet iffissati

Is-server Apache HTTP 2.4.49 ġie rilaxxat, li introduċa 27 bidla u elimina 5 vulnerabbiltajiet:

  • CVE-2021-33193 - mod_http2 huwa suxxettibbli għal varjant ġdid tal-attakk "HTTP Request Smuggling", li jippermetti, billi jibgħat talbiet tal-klijenti ddisinjati apposta, li jidħol fil-kontenut ta' talbiet minn utenti oħra trażmessi permezz ta' mod_proxy (pereżempju, tista 'tikseb l-inserzjoni ta' kodiċi JavaScript malizzjuż fis-sessjoni ta 'utent ieħor tas-sit).
  • CVE-2021-40438 hija vulnerabbiltà SSRF (Server Side Request Forgery) f'mod_proxy, li tippermetti li t-talba tiġi ridiretta lejn server magħżul mill-attakkant billi tintbagħat talba uri-path maħduma apposta.
  • CVE-2021-39275 - Buffer overflow fil-funzjoni ap_escape_quotes. Il-vulnerabbiltà hija mmarkata bħala beninna minħabba li l-moduli standard kollha ma jgħaddux data esterna għal din il-funzjoni. Iżda huwa teoretikament possibbli li jkun hemm moduli ta 'partijiet terzi li permezz tagħhom jista' jitwettaq attakk.
  • CVE-2021-36160 - Qari barra mil-limiti fil-mod_proxy_uwsgi modulu li jikkawżaw ħabta.
  • CVE-2021-34798 - Dereferenza tal-pointer NULL li tikkawża ħabta tal-proċess meta tipproċessa talbiet imfassla apposta.

L-aktar bidliet notevoli mhux tas-sigurtà huma:

  • Pjuttost ħafna bidliet interni fil mod_ssl. Is-settings "ssl_engine_set", "ssl_engine_disable" u "ssl_proxy_enable" ġew imċaqalqa minn mod_ssl għall-mili prinċipali (qalba). Huwa possibbli li tuża moduli SSL alternattivi biex tipproteġi l-konnessjonijiet permezz ta 'mod_proxy. Miżjud il-kapaċità li tilloggja ċwievet privati, li jistgħu jintużaw fil-wireshark biex janalizzaw it-traffiku encrypted.
  • F'mod_proxy, l-analiżi tal-mogħdijiet tas-socket unix mgħoddija fil-"proxy:" URL ġiet aċċellerata.
  • Il-kapaċitajiet tal-mod_md modulu, użati biex awtomatizzati l-irċevuta u l-manutenzjoni taċ-ċertifikati bl-użu tal-protokoll ACME (Automatic Certificate Management Environment), ġew estiżi. Huwa permess li jdawru dominji bi kwotazzjonijiet ġewwa u pprovda appoġġ għal tls-alpn-01 għal ismijiet ta 'dominju mhux assoċjati ma' hosts virtwali.
  • Żid il-parametru StrictHostCheck, li jipprojbixxi l-ispeċifikazzjoni ta' ismijiet tal-hosts mhux ikkonfigurati fost l-argumenti tal-lista "jħallu".

Sors: opennet.ru

Żid kumment