د اپاچي HTTP سرور 2.4.49 خپور شوی، 27 بدلونونه معرفي کوي او 5 زیانونه له منځه وړي:
- CVE-2021-33193 - mod_http2 د "HTTP غوښتنې قاچاق" برید نوي ډول ته حساس دی، کوم چې د ځانګړي ډیزاین شوي پیرودونکي غوښتنې لیږلو سره اجازه ورکوي چې د mod_proxy له لارې لیږدول شوي نورو کاروونکو څخه د غوښتنو مینځپانګې ته ځان ورسوی (د مثال په توګه، تاسو کولی شئ د سایټ د بل کارونکي ناستې ته د ناوړه جاواسکریپټ کوډ داخلول ترلاسه کړئ) .
- CVE-2021-40438 په mod_proxy کې د SSRF (د سرور اړخ غوښتنه جعل) زیانمنتیا ده، کوم چې غوښتنه د یو ځانګړي جوړ شوي uri-path غوښتنې په لیږلو سره د برید کونکي لخوا غوره شوي سرور ته د لیږلو اجازه ورکوي.
- CVE-2021-39275 - د ap_escape_quotes فنکشن کې د بفر اوور فلو. زیانمنتیا د بې نظیر په توګه نښه شوې ځکه چې ټول معیاري ماډلونه دې فعالیت ته بهرني معلومات نه لیږدوي. مګر دا په تیوریکي توګه ممکنه ده چې د دریمې ډلې ماډلونه شتون ولري چې له لارې یې برید ترسره کیدی شي.
- CVE-2021-36160 - د mod_proxy_uwsgi ماډل کې د حد څخه بهر لوستل د حادثې لامل کیږي.
- CVE-2021-34798 - یو NULL پوائنټر ډیریفرنس د پروسې د خرابیدو لامل کیږي کله چې په ځانګړي ډول جوړ شوي غوښتنې پروسس کوي.
ترټولو د پام وړ غیر امنیتي بدلونونه:
- په mod_ssl کې خورا ډیر داخلي بدلونونه. ترتیبات "ssl_engine_set"، "ssl_engine_disable" او "ssl_proxy_enable" د mod_ssl څخه اصلي ډکولو (کور) ته لیږدول شوي. دا ممکنه ده چې د mod_proxy له لارې د اړیکو ساتلو لپاره بدیل SSL ماډلونه وکاروئ. د خصوصي کیليونو د ننوتلو وړتیا اضافه کړه، کوم چې د کوډ شوي ټرافيک تحلیل کولو لپاره په وایرسارک کې کارول کیدی شي.
- په mod_proxy کې، د یونیکس ساکټ لارې پارس کول چې "پراکسي:" URL ته لیږدول شوي ګړندي شوي.
- د mod_md ماډل وړتیاوې، د ACME (د اتوماتیک سند مدیریت چاپیریال) پروتوکول په کارولو سره د سندونو رسید او ساتنې اتومات کولو لپاره کارول کیږي ، پراخه شوي. دا اجازه لري چې د کوټونو سره ډومینونه محاصره کړي او د tls-alpn-01 لپاره د ډومین نومونو لپاره ملاتړ چمتو کړی چې د مجازی کوربه سره تړاو نلري.
- د StrictHostCheck پیرامیټر اضافه شوی، کوم چې د "اجازه" لیست دلیلونو کې د غیر ترتیب شوي کوربه نومونو مشخص کول منع کوي.
سرچینه: opennet.ru