O le Apache HTTP server 2.4.52 ua faʻasaʻolotoina, faʻaalia 25 suiga ma faʻaumatia 2 faʻafitauli:
- O le CVE-2021-44790 ose fa'amaufa'ailoga fa'afefe i mod_lua lea e tupu pe a fa'asalalau talosaga e tele vaega. O le fa'aletonu e a'afia ai fa'atonuga lea e ta'ua ai e le Lua scripts le r:parsebody() galuega e fa'avasega ai le tino talosaga, e fa'ataga ai le tagata osofa'i e fa'atupu se pa'u e ala i le tu'uina atu o se talosaga fa'apitoa. E leai se faʻamaoniga o se faʻaogaina e leʻi faʻaalia, ae o le faʻafitauli e mafai ona oʻo atu ai i le faʻatinoina o lana code i luga o le server.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) faʻafitauli i mod_proxy, lea e mafai ai, i faʻasalalauga faʻatasi ma le "ProxyRequests on" faʻatulagaina, e ala i se talosaga mo se URI faʻapitoa, e ausia ai se talosaga toe faʻafeiloaʻi i se isi tagata faʻatau i luga o le tutusa. server e talia feso'ota'iga e ala ile Unix Domain Socket. E mafai fo'i ona fa'aoga le fa'afitauli e fa'atupu ai se fa'alavelave e ala i le fa'atupuina o aiaiga mo le fa'aleaogaina o le fa'asinoala. O le mataupu e a'afia ai fa'asologa o Apache httpd e amata mai le version 2.4.7.
O suiga sili ona le saogalemu:
- Fa'aopoopoina le lagolago mo le fausiaina ma le OpenSSL 3 faletusi i mod_ssl.
- Fa'aleleia le su'esu'eina o le faletusi OpenSSL i fa'amaumauga autoconf.
- I le mod_proxy, mo tunneling protocols, e mafai ona faʻamalo le toe faʻafeiloaʻi o fesoʻotaʻiga TCP afa-latalata e ala i le setiina o le "SetEnv proxy-nohalfclose" parameter.
- Fa'aopoopo siaki fa'aopoopo e le'o fa'amoemoeina le URI mo le sui o lo'o i ai le polokalame http/https, ma i latou e fa'amoemoe mo le sui e iai le igoa talimalo.
- mod_proxy_connect ma mod_proxy e le faatagaina le tulaga code e sui pe a uma ona lafo i le kalani.
- A tu'uina atu tali va'ava'ai pe a uma ona maua talosaga ma le ulutala "Fa'amoemoe: 100-Fa'aauau", ia mautinoa o le fa'ai'uga e fa'ailoa mai ai le tulaga o le "100 Fa'aauau" nai lo le tulaga o lo'o iai nei o le talosaga.
- mod_dav fa'aopoopo le lagolago mo fa'aopoopoga CalDAV, lea e mana'omia uma elemene pepa ma mea totino e tatau ona amanaia pe a gaosia se meatotino. Fa'aopoopo galuega fou dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() ma dav_find_attr(), lea e mafai ona vala'au mai isi modules.
- I le mpm_event, o le faʻafitauli i le taofia o le faʻaogaina o tamaiti pe a maeʻa le siʻitia o le uta o le server ua foia.
- Mod_http2 o lo'o i ai suiga fa'aletonu na mafua ai le amio le sa'o pe a fa'afoeina MaxRequestsPerChild ma MaxConnectionsPerChild tapula'a.
- O le gafatia o le mod_md module, faʻaaogaina e faʻaogaina ai le mauaina ma le tausiga o tusi faamaonia e faʻaaoga ai le ACME (Automatic Certificate Management Environment) protocol, ua faʻalauteleina:
- Fa'aopoopo le lagolago mo le fa'aogaina o le ACME External Account Binding (EAB), e mafai ona fa'aogaina le fa'atonuga a le MDExternalAccountBinding. O tau mo le EAB e mafai ona faʻapipiʻiina mai se faila JSON fafo, aloese mai le faʻaalia o faʻamaoniga faʻamaonia i le faila faʻapipiʻi autu.
- O le 'MDCertificateAuthority' fa'atonuga e fa'amautinoaina o le URL parameter o lo'o i ai le http/https po'o se tasi o igoa na mua'i fa'avasegaina ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' ma le 'Buypass-Test').
- Fa'ataga e fa'amaoti le fa'atonuga MDContactEmail i totonu o le vaega .
- E tele fa'aletonu ua uma ona toe fa'aleleia, e aofia ai ma le fa'alogoina o mea e tupu pe a fa'aletonu le utaina o se ki patino.
puna: opennet.ru