ProHoster > blog > internetnieuws > Apache 2.4.49 http-serveruitgave met opgeloste kwetsbaarheden

Apache 2.4.49 http-serveruitgave met opgeloste kwetsbaarheden

De Apache HTTP-server 2.4.49 is uitgebracht, waarbij 27 wijzigingen zijn geïntroduceerd en 5 kwetsbaarheden zijn geëlimineerd:

  • CVE-2021-33193 - mod_http2 is vatbaar voor een nieuwe variant van de "HTTP Request Smuggling"-aanval, die het mogelijk maakt, door speciaal ontworpen clientverzoeken te verzenden, zich te nestelen in de inhoud van verzoeken van andere gebruikers die worden verzonden via mod_proxy (bijvoorbeeld u kunt het invoegen van kwaadaardige JavaScript-code in de sessie van een andere gebruiker van de site bewerkstelligen).
  • CVE-2021-40438 is een SSRF-kwetsbaarheid (Server Side Request Forgery) in mod_proxy, waardoor het verzoek kan worden omgeleid naar een door de aanvaller gekozen server door een speciaal vervaardigd uri-padverzoek te verzenden.
  • CVE-2021-39275 - Bufferoverloop in de functie ap_escape_quotes. De kwetsbaarheid wordt als goedaardig gemarkeerd omdat alle standaardmodules geen externe gegevens doorgeven aan deze functie. Maar het is theoretisch mogelijk dat er modules van derden zijn waarmee een aanval kan worden uitgevoerd.
  • CVE-2021-36160 - Leesbewerkingen buiten het bereik in de module mod_proxy_uwsgi veroorzaken een crash.
  • CVE-2021-34798 - Een NULL pointer-dereferentie veroorzaakt een procescrash bij het verwerken van speciaal vervaardigde verzoeken.

De meest opvallende niet-beveiligingswijzigingen zijn:

  • Heel wat interne veranderingen in mod_ssl. De instellingen “ssl_engine_set”, “ssl_engine_disable” en “ssl_proxy_enable” zijn verplaatst van mod_ssl naar de hoofdvulling (core). Het is mogelijk om alternatieve SSL-modules te gebruiken om verbindingen via mod_proxy te beschermen. De mogelijkheid toegevoegd om privésleutels te loggen, die in Wireshark kunnen worden gebruikt om versleuteld verkeer te analyseren.
  • In mod_proxy is het parseren van Unix-socketpaden die worden doorgegeven aan de “proxy:”-URL versneld.
  • De mogelijkheden van de mod_md-module, die wordt gebruikt om de ontvangst en het onderhoud van certificaten te automatiseren met behulp van het ACME-protocol (Automatic Certificate Management Environment), zijn uitgebreid. Het citeren van domeinen in is toegestaan ​​en er is ondersteuning geboden voor tls-alpn-01 voor domeinnamen die niet aan virtuele hosts zijn gekoppeld.
  • De parameter StrictHostCheck is toegevoegd, die het opgeven van niet-geconfigureerde hostnamen verbiedt onder de argumenten van de “allow”-lijst.

Bron: opennet.ru

Voeg een reactie