ProHoster > Blog > internetne novice > Izdaja http strežnika Apache 2.4.49 z odpravljenimi ranljivostmi

Izdaja http strežnika Apache 2.4.49 z odpravljenimi ranljivostmi

Izdan je bil strežnik HTTP Apache 2.4.49, ki uvaja 27 sprememb in odpravlja 5 ranljivosti:

  • CVE-2021-33193 – mod_http2 je dovzeten za novo različico napada »HTTP Request Smuggling«, ki omogoča, da se s pošiljanjem posebej zasnovanih zahtev strank zagozdi v vsebino zahtev drugih uporabnikov, poslanih prek mod_proxy (na primer, lahko dosežete vstavljanje zlonamerne kode JavaScript v sejo drugega uporabnika spletnega mesta).
  • CVE-2021-40438 je ranljivost SSRF (Server Side Request Forgery) v mod_proxy, ki omogoča, da se zahteva preusmeri na strežnik, ki ga izbere napadalec s pošiljanjem posebej oblikovane zahteve uri-path.
  • CVE-2021-39275 – Prekoračitev medpomnilnika v funkciji ap_escape_quotes. Ranljivost je označena kot benigna, ker vsi standardni moduli tej funkciji ne posredujejo zunanjih podatkov. Toda teoretično je možno, da obstajajo moduli tretjih oseb, prek katerih je mogoče izvesti napad.
  • CVE-2021-36160 – Branje izven meja v modulu mod_proxy_uwsgi povzroči zrušitev.
  • CVE-2021-34798 – Odimenovanje kazalca NULL, ki povzroča zrušitev procesa pri obdelavi posebej oblikovanih zahtev.

Najbolj opazne spremembe, ki niso povezane z varnostjo:

  • Precej notranjih sprememb v mod_ssl. Nastavitve “ssl_engine_set”, “ssl_engine_disable” in “ssl_proxy_enable” so bile premaknjene iz mod_ssl v glavno polnjenje (jedro). Za zaščito povezav prek mod_proxy je mogoče uporabiti alternativne module SSL. Dodana možnost beleženja zasebnih ključev, ki jih je mogoče uporabiti v Wiresharku za analizo šifriranega prometa.
  • V mod_proxy je pospešeno razčlenjevanje poti vtičnic unix, posredovanih v URL »proxy:«.
  • Razširjene so zmožnosti modula mod_md, ki se uporablja za avtomatizacijo sprejema in vzdrževanja certifikatov s pomočjo protokola ACME (Automatic Certificate Management Environment). Domene je dovoljeno obdati z narekovaji in zagotovil podporo za tls-alpn-01 za imena domen, ki niso povezana z virtualnimi gostitelji.
  • Dodan parameter StrictHostCheck, ki prepoveduje določanje nekonfiguriranih imen gostiteljev med argumenti seznama »dovoljeno«.

Vir: opennet.ru

Dodaj komentar