د اپاچي HTTP سرور 2.4.52 خپور شوی، 25 بدلونونه معرفي کوي او 2 زیانونه له منځه وړي:
- CVE-2021-44790 په mod_lua کې یو بفر اوور فلو دی چې د څو برخو غوښتنو د تجزیه کولو پر مهال رامنځته کیږي. دا زیان منونکی حالت په هغو ترتیبونو اغیزه کوي چې پکې د لوا سکرپټونه د غوښتنې بدن تجزیه کولو لپاره r:parsebody() فعالیت ته زنګ وهي، چې بریدګر ته اجازه ورکوي چې د ځانګړي جوړ شوي غوښتنې لیږلو سره د بفر اوور فلو لامل شي. تر اوسه هیڅ استحصال نه دی پیژندل شوی، مګر ستونزه ممکن د کوډ اجرا کولو لامل شي. سرور.
- CVE-2021-44224 - په mod_proxy کې SSRF (د سرور اړخ غوښتنه جعل) زیانمنتیا، کوم چې اجازه ورکوي، د "ProxyRequests on" ترتیب سره په ترتیب کې، د ځانګړي ډیزاین شوي URI لپاره د غوښتنې له لارې، په ورته ډول بل هینډلر ته د غوښتنې بیرته راستنولو لپاره. سرور چې د یونیکس ډومین ساکټ له لارې اړیکې مني. مسله د نل پوائنټر ډیریفرنس لپاره شرایطو رامینځته کولو سره د حادثې لامل کیدو لپاره هم کارول کیدی شي. دا مسله د اپاچي httpd نسخه اغیزه کوي چې د 2.4.7 نسخه څخه پیل کیږي.
ترټولو د پام وړ غیر امنیتي بدلونونه:
- mod_ssl ته د OpenSSL 3 کتابتون سره د جوړولو لپاره ملاتړ اضافه شوی.
- په Autoconf سکریپټونو کې د OpenSSL کتابتون کشف ښه شوی.
- په mod_proxy کې، د تونل کولو پروتوکولونو لپاره، دا ممکنه ده چې د "SetEnv proxy-nohalfclose" پیرامیټر په ترتیب کولو سره د نیمه نږدې TCP ارتباطاتو بیا رغونه غیر فعال کړئ.
- اضافي چکونه اضافه شوي چې URIs د پراکسي کولو لپاره نه دي د http/https سکیم لري، او هغه چې د پراکسي کولو لپاره ټاکل شوي د کوربه نوم لري.
- mod_proxy_connect او mod_proxy اجازه نه ورکوي د وضعیت کوډ بدل شي وروسته له دې چې پیرودونکي ته لیږل کیږي.
- کله چې د "توقع: 100-دوام" سرلیک سره د غوښتنو ترلاسه کولو وروسته منځګړیتوب ځوابونه واستوئ، ډاډ ترلاسه کړئ چې پایله د غوښتنې اوسني حالت پر ځای د "100 دوام" حالت په ګوته کوي.
- mod_dav د CalDAV توسیعونو لپاره ملاتړ اضافه کوي، کوم چې د ملکیت تولیدولو په وخت کې د اسنادو عناصرو او ملکیت عناصرو ته اړتیا لري. نوي افعال اضافه کړل dav_validate_root_ns()، dav_find_child_ns()، dav_find_next_ns()، dav_find_attr_ns() او dav_find_attr()، کوم چې د نورو ماډلونو څخه بلل کیدی شي.
- په mpm_event کې، د سرور بار کې د زیاتوالي وروسته د بې کاره ماشومانو پروسې بندولو ستونزه حل شوې.
- Mod_http2 د ریګریشن بدلونونه ثابت کړي چې د غلط چلند لامل شوي کله چې د MaxRequestsPerChild او MaxConnectionsPerChild محدودیتونو اداره کول.
- د mod_md ماډل وړتیاوې، د ACME (د اتوماتیک سند مدیریت چاپیریال) پروتوکول په کارولو سره د سندونو رسید او ساتنې اتومات کولو لپاره کارول شوي ، پراخه شوي:
- د ACME بهرني حساب پابندۍ (EAB) میکانیزم لپاره اضافه شوی ملاتړ، د MDExternalAccountBinding لارښود په کارولو سره فعال شوی. د EAB لپاره ارزښتونه د بهرني JSON فایل څخه تنظیم کیدی شي، په اصلي فایل کې د تصدیق پیرامیټرو افشا کولو اړتیا له منځه وړي. د سرور ترتیبات.
- د 'MDCertificateAuthority' لارښود ډاډ ورکوي چې د URL پیرامیټر http/https یا یو له مخکې ټاکل شوي نومونه لري ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' او 'Buypass-Test').
- د برخې دننه د MDContactEmail لارښود مشخص کولو ته اجازه ورکړل شوې .
- ډیری بګونه حل شوي ، پشمول د حافظې لیک په شمول چې پیښیږي کله چې د شخصي کیلي بارولو ناکام شي.
سرچینه: opennet.ru
