Apache HTTP ဆာဗာ 2.4.52 သည် အပြောင်းအလဲ 25 ခုကို မိတ်ဆက်ပြီး အားနည်းချက် 2 ခုကို ဖယ်ရှားလိုက်သည်-
- CVE-2021-44790 သည် အပိုင်းများစွာ တောင်းဆိုမှုများကို ပိုင်းခြားသတ်မှတ်သည့်အခါ ဖြစ်ပေါ်သည့် mod_lua တွင် ကြားခံအလျှံပယ်တစ်ခုဖြစ်သည်။ အားနည်းချက်သည် Lua scripts များက တောင်းဆိုချက်ကိုယ်ထည်ကို ခွဲခြမ်းစိတ်ဖြာရန် Lua scripts ဟုခေါ်သည့် ဖွဲ့စည်းမှုပုံစံများကို အကျိုးသက်ရောက်စေပြီး တိုက်ခိုက်သူအား အထူးဖန်တီးထားသော တောင်းဆိုချက်တစ်ခုပေးပို့ခြင်းဖြင့် ကြားခံလွှမ်းမိုးမှုဖြစ်စေနိုင်သည်။ exploit တစ်ခု၏ အထောက်အထားကို မဖော်ထုတ်ရသေးသော်လည်း ပြဿနာသည် ဆာဗာပေါ်တွင် ၎င်း၏ကုဒ်ကို အကောင်အထည်ဖော်ရန် ဦးတည်သွားနိုင်သည်။
- CVE-2021-44224 - SSRF (Server Side Request Forgery) အားနည်းချက်မှာ mod_proxy ရှိ အားနည်းချက်တစ်ခုဖြစ်သည့် "ProxyRequests on" ဆက်တင်ဖြင့် တူညီသောပုံစံဖြင့် အခြားကိုင်တွယ်သူထံ တောင်းဆိုချက်တစ်ခုသို့ ပြန်လည်လမ်းညွှန်မှုရရှိရန် တောင်းဆိုမှုမှတစ်ဆင့်၊ "ProxyRequests on" ဆက်တင်ဖြင့် ဖွဲ့စည်းသတ်မှတ်မှုများတွင် ခွင့်ပြုသည်။ Unix Domain Socket မှတဆင့်ချိတ်ဆက်မှုများကိုလက်ခံသောဆာဗာ။ null pointer dereference အတွက် အခြေအနေများ ဖန်တီးခြင်းဖြင့် ပြဿနာကို ပျက်စီးမှုဖြစ်စေရန်လည်း အသုံးပြုနိုင်သည်။ ပြဿနာသည် ဗားရှင်း 2.4.7 မှ စတင်သည့် Apache httpd ဗားရှင်းများအပေါ် သက်ရောက်မှုရှိသည်။
အထင်ရှားဆုံးသော လုံခြုံရေးမဟုတ်သော အပြောင်းအလဲများ-
- mod_ssl သို့ OpenSSL 3 စာကြည့်တိုက်ဖြင့် တည်ဆောက်ခြင်းအတွက် ပံ့ပိုးမှု ပေါင်းထည့်ထားသည်။
- autoconf scripts များတွင် OpenSSL ဒစ်ဂျစ်တိုက်သိရှိနိုင်မှုကို မြှင့်တင်ထားသည်။
- mod_proxy တွင်၊ tunneling protocols အတွက်၊ "SetEnv proxy-nohalfclose" ကန့်သတ်ဘောင်ကို သတ်မှတ်ခြင်းဖြင့် တစ်ဝက်ပိတ် TCP ချိတ်ဆက်မှုများကို ပြန်ညွှန်းခြင်းကို ပိတ်နိုင်သည်။
- URI များတွင် proxying ပြုလုပ်ရန် မရည်ရွယ်သော နောက်ထပ်စစ်ဆေးမှုများတွင် http/https scheme ပါရှိပြီး proxying ပြုလုပ်ရန် ရည်ရွယ်သည့်အရာများသည် host name ပါ၀င်ပါသည်။
- mod_proxy_connect နှင့် mod_proxy တို့သည် သုံးစွဲသူထံ ပေးပို့ပြီးနောက် အခြေအနေကုဒ်ကို ပြောင်းလဲခွင့်မပြုပါ။
- "မျှော်လင့်ချက်- 100-Continue" ခေါင်းစီးဖြင့် တောင်းဆိုမှုများကို လက်ခံရရှိပြီးနောက် အလယ်အလတ်တုံ့ပြန်မှုများကို ပေးပို့သည့်အခါ ရလဒ်သည် တောင်းဆိုချက်၏ လက်ရှိအခြေအနေထက် "100 Continue" ၏ အခြေအနေကို ညွှန်ပြကြောင်း သေချာပါစေ။
- mod_dav သည် ပစ္စည်းတစ်ခုဖန်တီးသောအခါတွင် စာရွက်စာတမ်းဒြပ်စင်များနှင့် ပိုင်ဆိုင်မှုဒြပ်စင်များကို ထည့်သွင်းစဉ်းစားရန် လိုအပ်သည့် CalDAV တိုးချဲ့မှုများကို ပံ့ပိုးပေးပါသည်။ အခြား module များမှ ခေါ်ဆိုနိုင်သည့် လုပ်ဆောင်ချက်အသစ် dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() နှင့် dav_find_attr() တို့ကို ထည့်သွင်းထားပါသည်။
- mpm_event တွင်၊ server load တက်လာပြီးနောက် idle child လုပ်ငန်းစဉ်များကို ရပ်တန့်ခြင်းဆိုင်ရာ ပြဿနာ။
- Mod_http2 သည် MaxRequestsPerChild နှင့် MaxConnectionsPerChild ကန့်သတ်ချက်များကို ကိုင်တွယ်သောအခါ မှားယွင်းသောအပြုအမူဖြစ်စေသော ဆုတ်ယုတ်မှုပြောင်းလဲမှုများကို ပြင်ဆင်ပေးထားသည်။
- ACME (Automatic Certificate Management Environment) ပရိုတိုကောကို အသုံးပြု၍ လက်မှတ်များ၏ လက်ခံရရှိမှုနှင့် ပြုပြင်ထိန်းသိမ်းမှုကို အလိုအလျောက်လုပ်ဆောင်ရန် အသုံးပြုသည့် mod_md module ၏ စွမ်းဆောင်ရည်များကို တိုးချဲ့ထားသည်-
- MDExternalAccountBinding ညွှန်ကြားချက်ကို အသုံးပြု၍ ဖွင့်ထားသည့် ACME ပြင်ပအကောင့်ချိတ်ခြင်း (EAB) ယန္တရားအတွက် ပံ့ပိုးမှု ထပ်လောင်းထည့်ထားသည်။ EAB အတွက် တန်ဖိုးများကို ပင်မဆာဗာ ဖွဲ့စည်းမှုပုံစံဖိုင်တွင် အထောက်အထားစိစစ်ခြင်းဆိုင်ရာ ကန့်သတ်ချက်များကို ဖော်ထုတ်ခြင်းမှ ရှောင်ကြဉ်ခြင်းဖြင့် ပြင်ပ JSON ဖိုင်မှ စီစဉ်သတ်မှတ်နိုင်သည်။
- 'MDCertificateAuthority' ညွှန်ကြားချက်သည် URL ကန့်သတ်ဘောင်တွင် http/https သို့မဟုတ် ကြိုတင်သတ်မှတ်ထားသော အမည်များထဲမှ တစ်ခု ('LetsEncrypt'၊ 'LetsEncrypt-Test'၊ 'Buypass' နှင့် 'Buypass-Test') ပါဝင်ကြောင်း သေချာစေသည်။
- ကဏ္ဍအတွင်း MDContactEmail ညွှန်ကြားချက်ကို သတ်မှတ်ရန် ခွင့်ပြုထားသည်။ .
- ကိုယ်ရေးကိုယ်တာသော့ကိုဖွင့်ရာတွင် အဆင်မပြေသောအခါတွင် ဖြစ်ပေါ်နိုင်သော မမ်မိုရီယိုစိမ့်မှုအပါအဝင် ချို့ယွင်းချက်များစွာကို ပြင်ဆင်ပြီးဖြစ်သည်။
source: opennet.ru