ProHoster > Blog > talafou initaneti > Apache 2.4.49 http faʻasalalauga faʻapipiʻi ma faʻafitauli faʻaletonu

Apache 2.4.49 http faʻasalalauga faʻapipiʻi ma faʻafitauli faʻaletonu

O le Apache HTTP server 2.4.49 ua tatalaina, faʻafeiloaʻi 27 suiga ma faʻaumatia 5 faʻafitauli:

  • CVE-2021-33193 - mod_http2 e faigofie i se suiga fou o le osofaʻiga "HTTP Request Smuggling", lea e mafai ai, e ala i le tuʻuina atu o talosaga a tagata o tausia faʻapitoa, e faʻapipiʻi i totonu o mea o talosaga mai isi tagata faʻaoga na tuʻuina atu e ala i mod_proxy (mo se faʻataʻitaʻiga, e mafai ona e ausia le faʻaofiina o le code JavaScript leaga i le sauniga a le isi tagata faʻaoga o le saite) .
  • CVE-2021-40438 o se SSRF (Server Side Request Forgery) faʻafitauli i mod_proxy, lea e mafai ai ona toe faʻafeiloaʻi le talosaga i se 'auʻaunaga na filifilia e le tagata osofaʻi e ala i le tuʻuina atu o se talosaga uri-ala faʻapitoa.
  • CVE-2021-39275 - O loʻo tafe le paʻu i le galuega ap_escape_quotes. O le fa'aletonu ua fa'ailogaina e fa'aletonu ona e le tu'uina atu e fa'amatalaga masani uma fa'amatalaga mai fafo i lenei galuega. Ae e foliga mai e mafai ona iai ni vaega lona tolu e mafai ai ona faia se osofaʻiga.
  • CVE-2021-36160 - I fafo o tuaoi faitau i le mod_proxy_uwsgi module na mafua ai se faʻalavelave.
  • CVE-2021-34798 - O se fa'ailoga NULL fa'ailoga e mafua ai se fa'alavelave fa'agasolo pe a fa'agasolo talosaga fa'apitoa.

O suiga sili ona le saogalemu:

  • Le tele o suiga i totonu mod_ssl. O faʻatulagaga "ssl_engine_set", "ssl_engine_disable" ma le "ssl_proxy_enable" ua siitia mai le mod_ssl i le faʻatumu autu (autu). E mafai ona fa'aogaina isi fa'aoga SSL e puipuia ai feso'ota'iga e ala i mod_proxy. Fa'aopoopoina le tomai e fa'amau ai ki fa'apitoa, lea e mafai ona fa'aoga i le wireshark e fa'avasega ai felauaiga fa'ailoga.
  • I le mod_proxy, ua fa'avavevave le fa'avasegaina o ala socket unix i le "proxy:" URL.
  • O le gafatia o le mod_md module, faʻaaogaina e faʻaaogaina ai le mauaina ma le tausiga o tusi faamaonia e faʻaaoga ai le ACME (Automatic Certificate Management Environment), ua faʻalauteleina. E fa'ataga e si'osi'omia nofoaga i upusii i totonu ma tu'uina atu le lagolago mo tls-alpn-01 mo igoa fa'apitonu'u e le o feso'ota'i ma 'au fa'apitoa.
  • Faʻaopoopo le StrictHostCheck parakalafa, lea e faʻasaina ai le faʻamaonia o igoa talimalo e leʻi faʻaogaina i totonu o le "faʻatagaina" lisi finauga.

puna: opennet.ru

Faaopoopo i ai se faamatalaga