Apache 2.4.49 HTTP සේවාදායක නිකුතුව ප්රකාශයට පත් කර ඇත, එය වෙනස්කම් 27 ක් ඉදිරිපත් කරන අතර දුර්වලතා 5 ක් ස්ථාවර කර ඇත:
- CVE-2021-33193 - mod_http2 "HTTP ඉල්ලීම් ජාවාරම්" ප්රහාරයේ නව ප්රභේදයකට ගොදුරු වේ, එය විශේෂයෙන් නිර්මාණය කරන ලද සේවාලාභී ඉල්ලීම් යැවීමෙන්, mod_proxy හරහා සම්ප්රේෂණය වන අනෙකුත් පරිශීලකයින්ගෙන් ඉල්ලීම්වල අන්තර්ගතයට සම්බන්ධ වීමට ඉඩ සලසයි (උදාහරණයක් ලෙස, වෙබ් අඩවියේ වෙනත් පරිශීලකයෙකුගේ සැසියට අනිෂ්ට ජාවාස්ක්රිප්ට් කේතය ඇතුළත් කිරීම ඔබට ලබා ගත හැක) .
- CVE-2021-40438 යනු mod_proxy හි ඇති SSRF (සේවාදායක පැති ඉල්ලීම් ව්යාජ) අවදානමකි, එය විශේෂයෙන් සකස් කරන ලද uri-path ඉල්ලීමක් යැවීමෙන් ප්රහාරකයා විසින් තෝරාගත් සේවාදායකයක් වෙත ඉල්ලීම නැවත යොමු කිරීමට ඉඩ සලසයි.
- CVE-2021-39275 - ap_escape_quotes ශ්රිතයේ බෆරය පිටාර ගැලීම. සියලුම සම්මත මොඩියුල මෙම ශ්රිතයට බාහිර දත්ත ලබා නොදෙන නිසා අනාරක්ෂිත බව සලකුණු කර ඇත. නමුත් ප්රහාරයක් සිදු කළ හැකි තුන්වන පාර්ශ්ව මොඩියුල ඇති බව න්යායාත්මකව කළ හැකි ය.
- CVE-2021-36160 - mod_proxy_uwsgi මොඩියුලයේ සීමාවෙන් පිටත කියවීම් බිඳවැටීමක් ඇති කරයි.
- CVE-2021-34798 - විශේෂයෙන් සැකසූ ඉල්ලීම් සැකසීමේදී ක්රියාවලි බිඳවැටීමක් ඇති කරන NULL පොයින්ටර් dereference.
වඩාත්ම කැපී පෙනෙන ආරක්ෂක නොවන වෙනස්කම් වන්නේ:
- mod_ssl හි අභ්යන්තර වෙනස්කම් ගොඩක්. “ssl_engine_set”, “ssl_engine_disable” සහ “ssl_proxy_enable” සැකසීම් mod_ssl සිට ප්රධාන පිරවීම (core) වෙත ගෙන ගොස් ඇත. mod_proxy හරහා සම්බන්ධතා ආරක්ෂා කිරීමට විකල්ප SSL මොඩියුල භාවිතා කළ හැක. සංකේතාත්මක ගමනාගමනය විශ්ලේෂණය කිරීමට වයර්ෂාක් තුළ භාවිතා කළ හැකි පුද්ගලික යතුරු ලොග් කිරීමේ හැකියාව එක් කරන ලදී.
- mod_proxy හි, “proxy:” URL වෙත යවන ලද unix සොකට් මාර්ග විග්රහ කිරීම වේගවත් කර ඇත.
- ACME (ස්වයංක්රීය සහතික කළමනාකරණ පරිසරය) ප්රොටෝකෝලය භාවිතයෙන් සහතික ලැබීම සහ නඩත්තු කිරීම ස්වයංක්රීය කිරීමට භාවිතා කරන mod_md මොඩියුලයේ හැකියාවන් පුළුල් කර ඇත. උපුටා දැක්වීම් සහිත වසම් වට කිරීමට එයට අවසර ඇත සහ tls-alpn-01 සඳහා අතථ්ය ධාරක සමඟ සම්බන්ධ නොවූ වසම් නාම සඳහා සහය ලබා දෙන ලදී.
- StrictHostCheck පරාමිතිය එක් කරන ලදී, එය "අවසර" ලැයිස්තු තර්ක අතර වින්යාස නොකළ ධාරක නාම සඳහන් කිරීම තහනම් කරයි.
මූලාශ්රය: opennet.ru