Објављен је Апацхе ХТТП сервер 2.4.49, који је увео 27 промена и елиминисао 5 рањивости:
- ЦВЕ-2021-33193 - мод_хттп2 је подложан новој варијанти напада "ХТТП Рекуест Смугглинг", који омогућава, слањем посебно дизајнираних захтева клијената, да се углави у садржај захтева других корисника који се преносе преко мод_проки (нпр. можете постићи уметање злонамерног ЈаваСцрипт кода у сесију другог корисника сајта) .
- ЦВЕ-2021-40438 је ССРФ (Фалсификовање захтева на страни сервера) рањивост у мод_проки, која омогућава да се захтев преусмери на сервер који је одабрао нападач слањем посебно креираног захтева за ури-патх.
- ЦВЕ-2021-39275 – Преливање бафера у функцији ап_есцапе_куотес. Рањивост је означена као бенигна јер сви стандардни модули не прослеђују екстерне податке овој функцији. Али теоретски је могуће да постоје модули треће стране преко којих се може извршити напад.
- ЦВЕ-2021-36160 – Читања ван граница у модулу мод_проки_увсги изазивају пад.
- ЦВЕ-2021-34798 – Дереференца НУЛЛ показивача која узрокује пад процеса приликом обраде посебно креираних захтева.
Најзначајније промене које се не односе на безбедност су:
- Доста унутрашњих промена у мод_ссл. Подешавања „ссл_енгине_сет“, „ссл_енгине_дисабле“ и „ссл_проки_енабле“ су премештена са мод_ссл на главно пуњење (језгро). Могуће је користити алтернативне ССЛ модуле за заштиту конекција преко мод_проки. Додата је могућност евидентирања приватних кључева, који се могу користити у виресхарк-у за анализу шифрованог саобраћаја.
- У мод_проки, рашчлањивање путања уникс сокета прослеђених у „проки:“ УРЛ је убрзано.
- Проширене су могућности модула мод_мд, који се користи за аутоматизацију пријема и одржавања сертификата коришћењем АЦМЕ (Аутоматиц Цертифицате Манагемент Енвиронмент) протокола. Дозвољено је окружити домене наводницима и обезбедио подршку за тлс-алпн-01 за имена домена која нису повезана са виртуелним хостовима.
- Додан је параметар СтрицтХостЦхецк, који забрањује навођење неконфигурисаних имена хостова међу аргументима листе „дозволи“.
Извор: опеннет.ру