ProHoster > Blog > wiadomości internetowe > Wydanie serwera http Apache 2.4.49 z naprawionymi lukami

Wydanie serwera http Apache 2.4.49 z naprawionymi lukami

Został wydany serwer Apache HTTP 2.4.49, wprowadzający 27 zmian i eliminujący 5 luk:

  • CVE-2021-33193 - mod_http2 jest podatny na nowy wariant ataku „HTTP Request Smuggling”, który pozwala poprzez wysyłanie specjalnie zaprojektowanych żądań klientów wklinować się w treść żądań innych użytkowników przesyłanych za pośrednictwem mod_proxy (np. można doprowadzić do wstawienia złośliwego kodu JavaScript do sesji innego użytkownika serwisu).
  • CVE-2021-40438 to luka w zabezpieczeniach SSRF (ang. Server Side Request Forgery) w mod_proxy, która umożliwia przekierowanie żądania na serwer wybrany przez atakującego poprzez wysłanie specjalnie spreparowanego żądania uri-path.
  • CVE-2021-39275 – Przepełnienie bufora w funkcji ap_escape_quotes. Luka jest oznaczona jako łagodna, ponieważ wszystkie standardowe moduły nie przekazują do tej funkcji danych zewnętrznych. Jednak teoretycznie możliwe jest, że istnieją moduły stron trzecich, za pośrednictwem których można przeprowadzić atak.
  • CVE-2021-36160 — Odczyty poza zakresem w module mod_proxy_uwsgi powodują awarię.
  • CVE-2021-34798 — Wyłuskanie wskaźnika NULL powodujące awarię procesu podczas przetwarzania specjalnie spreparowanych żądań.

Najbardziej zauważalne zmiany niezwiązane z bezpieczeństwem:

  • Sporo zmian wewnętrznych w mod_ssl. Ustawienia „ssl_engine_set”, „ssl_engine_disable” i „ssl_proxy_enable” zostały przeniesione z mod_ssl do głównego wypełnienia (core). Możliwe jest użycie alternatywnych modułów SSL w celu ochrony połączeń poprzez mod_proxy. Dodano możliwość rejestrowania kluczy prywatnych, które można wykorzystać w Wireshark do analizy zaszyfrowanego ruchu.
  • W mod_proxy przyspieszono analizowanie ścieżek gniazd uniksowych przekazywanych do adresu URL „proxy:”.
  • Rozszerzone zostały możliwości modułu mod_md służącego do automatyzacji odbioru i obsługi certyfikatów z wykorzystaniem protokołu ACME (Automatic Certyfikat Management Environment). Dozwolone jest otaczanie domen cudzysłowami i zapewnił obsługę protokołu tls-alpn-01 dla nazw domen niezwiązanych z hostami wirtualnymi.
  • Dodano parametr StrictHostCheck, który zabrania określania nieskonfigurowanych nazw hostów wśród argumentów listy „zezwól”.

Źródło: opennet.ru

Dodaj komentarz