Apache HTTP سرور 2.4.49 جاري ڪيو ويو آهي، متعارف ڪرايو ويو آهي 27 تبديليون ۽ ختم ڪندي 5 خطرات:
- CVE-2021-33193 - mod_http2 "HTTP درخواست اسمگلنگ" حملي جي نئين قسم لاءِ حساس آهي، جيڪا اجازت ڏئي ٿي، خاص طور تي ڊزائين ڪيل ڪلائنٽ درخواستون موڪلڻ سان، mod_proxy ذريعي منتقل ڪيل ٻين صارفين جي درخواستن جي مواد ۾ پاڻ کي ويج ڪرڻ لاءِ (مثال طور، توهان حاصل ڪري سگهو ٿا بدسلوڪي جاوا اسڪرپٽ ڪوڊ داخل ڪرڻ سائيٽ جي ٻئي صارف جي سيشن ۾).
- CVE-2021-40438 mod_proxy ۾ هڪ SSRF (سرور سائڊ ريڪويسٽ فارجري) ڪمزوري آهي، جيڪا درخواست کي اجازت ڏئي ٿي ته حملي ڪندڙ طرفان چونڊيل سرور ڏانهن خاص طور تي تيار ڪيل uri-path جي درخواست موڪلڻ سان.
- CVE-2021-39275 - ap_escape_quotes فنڪشن ۾ بفر اوور فلو. خطري کي بي نظير طور نشان لڳايو ويو آهي ڇاڪاڻ ته سڀئي معياري ماڊل هن فنڪشن ۾ خارجي ڊيٽا کي منتقل نٿا ڪن. پر اهو نظرياتي طور تي ممڪن آهي ته اتي ٽئين پارٽي ماڊلز موجود آهن جن جي ذريعي حملو ڪري سگهجي ٿو.
- CVE-2021-36160 - mod_proxy_uwsgi ماڊل ۾ حد کان ٻاهر پڙهڻ سان حادثي جو سبب بڻجندو آهي.
- CVE-2021-34798 - هڪ NULL پوائنٽر ڊيريفرنس خاص طور تي تيار ڪيل درخواستن جي پروسيسنگ دوران عمل جي حادثي جو سبب بڻجندو آهي.
سڀ کان وڌيڪ قابل ذڪر غير سيڪيورٽي تبديليون:
- mod_ssl ۾ ڪافي اندروني تبديليون. سيٽنگون "ssl_engine_set"، "ssl_engine_disable" ۽ "ssl_proxy_enable" کي mod_ssl کان مين فلنگ (ڪور) ڏانھن منتقل ڪيو ويو آھي. mod_proxy ذريعي رابطن کي بچائڻ لاءِ متبادل SSL ماڊل استعمال ڪرڻ ممڪن آهي. شامل ڪيو ويو پرائيويٽ ڪنيز کي لاگ ان ڪرڻ جي صلاحيت، جيڪا وائر شارڪ ۾ استعمال ڪري سگھجن ٿا انڪريپٽ ٿيل ٽرئفڪ جو تجزيو ڪرڻ لاءِ.
- mod_proxy ۾، يونڪس ساکٽ رستن جي پارسنگ کي "پراڪسي:" URL ۾ منتقل ڪيو ويو آهي تيز ڪيو ويو آهي.
- mod_md ماڊل جي صلاحيتون، ACME (خودڪار سرٽيفڪيٽ مينيجمينٽ ماحول) پروٽوڪول استعمال ڪندي سرٽيفڪيٽ جي وصولي ۽ سار سنڀال کي خودڪار ڪرڻ لاء استعمال ڪيو ويو آهي، وڌايو ويو آهي. ان کي اجازت ڏني وئي آهي ته ڊومين جي چوڌاري حوالن سان ۽ مدد فراهم ڪئي tls-alpn-01 لاءِ ڊومين نالن لاءِ جيڪي ورچوئل هوسٽ سان لاڳاپيل نه آهن.
- شامل ڪيو ويو StrictHostCheck پيٽرول، جيڪو "اجازت" لسٽ دليلن جي وچ ۾ غير ترتيب ڏنل ميزبانن جي وضاحت ڪرڻ کان منع ڪري ٿو.
جو ذريعو: opennet.ru