ProHoster > Log > Internett-nyheter > Apache 2.4.49 http-serverutgivelse med sårbarheter fikset

Apache 2.4.49 http-serverutgivelse med sårbarheter fikset

Apache HTTP-serveren 2.4.49 har blitt utgitt, og introduserer 27 endringer og eliminerer 5 sårbarheter:

  • CVE-2021-33193 - mod_http2 er mottakelig for en ny variant av "HTTP Request Smuggling"-angrepet, som gjør det mulig, ved å sende spesialdesignede klientforespørsler, å kile seg inn i innholdet i forespørsler fra andre brukere som overføres gjennom mod_proxy (for eksempel, du kan oppnå innsetting av ondsinnet JavaScript-kode i økten til en annen bruker av nettstedet).
  • CVE-2021-40438 er et SSRF-sårbarhet (Server Side Request Forgery) i mod_proxy, som gjør at forespørselen kan omdirigeres til en server valgt av angriperen ved å sende en spesiallaget uri-baneforespørsel.
  • CVE-2021-39275 - Bufferoverflyt i ap_escape_quotes-funksjonen. Sårbarheten er merket som godartet fordi alle standardmoduler ikke sender eksterne data til denne funksjonen. Men det er teoretisk mulig at det finnes tredjepartsmoduler som et angrep kan utføres gjennom.
  • CVE-2021-36160 - Leser utenfor grensene i mod_proxy_uwsgi-modulen som forårsaker et krasj.
  • CVE-2021-34798 - En NULL-pekerdereferanse som forårsaker en prosesskrasj ved behandling av spesiallagde forespørsler.

De mest bemerkelsesverdige ikke-sikkerhetsendringene:

  • Ganske mange interne endringer i mod_ssl. Innstillingene «ssl_engine_set», «ssl_engine_disable» og «ssl_proxy_enable» er flyttet fra mod_ssl til hovedfyllingen (kjerne). Det er mulig å bruke alternative SSL-moduler for å beskytte tilkoblinger via mod_proxy. Lagt til muligheten til å logge private nøkler, som kan brukes i wireshark for å analysere kryptert trafikk.
  • I mod_proxy har parsingen av unix-socket-baner som er sendt inn i "proxy:"-URLen blitt akselerert.
  • Mulighetene til mod_md-modulen, som brukes til å automatisere mottak og vedlikehold av sertifikater ved hjelp av ACME-protokollen (Automatic Certificate Management Environment), er utvidet. Det er tillatt å omgi domener med anførselstegn og ga støtte for tls-alpn-01 for domenenavn som ikke er knyttet til virtuelle verter.
  • La til StrictHostCheck-parameteren, som forbyr å spesifisere ukonfigurerte vertsnavn blant "allow"-listeargumentene.

Kilde: opennet.ru

Legg til en kommentar