ProHoster > Blog > warta internét > Apache 2.4.49 http server release kalawan vulnerabilities dibereskeun

Apache 2.4.49 http server release kalawan vulnerabilities dibereskeun

Server Apache HTTP 2.4.49 parantos dileupaskeun, ngenalkeun 27 perobahan sareng ngaleungitkeun 5 kerentanan:

  • CVE-2021-33193 - mod_http2 rentan ka varian anyar tina serangan "HTTP Request Smuggling", anu ngamungkinkeun, ku ngirim requests klien dirancang husus, ngaganjel sorangan kana eusi requests ti pamaké séjén dikirimkeun ngaliwatan mod_proxy (contona, Anjeun tiasa ngahontal sisipan kode JavaScript jahat kana sési pamaké séjén loka éta) .
  • CVE-2021-40438 mangrupikeun kerentanan SSRF (Server Side Request Forgery) dina mod_proxy, anu ngamungkinkeun pamundutna dialihkeun ka server anu dipilih ku panyerang ku ngirimkeun pamundut jalur urin anu didamel khusus.
  • CVE-2021-39275 - panyangga mudal dina fungsi ap_escape_quotes. Kerentanan ditandaan salaku benign sabab sadaya modul standar henteu ngaliwat data éksternal kana fungsi ieu. Tapi sacara téoritis mungkin aya modul pihak katilu dimana serangan tiasa dilaksanakeun.
  • CVE-2021-36160 - Out-of-bounds berbunyi dina modul mod_proxy_uwsgi ngabalukarkeun kacilakaan.
  • CVE-2021-34798 - A dereference pointer NULL ngabalukarkeun kacilakaan prosés nalika ngolah requests dijieun husus.

Parobahan non-kaamanan anu paling kasohor nyaéta:

  • Rada loba parobahan internal dina mod_ssl. Setélan "ssl_engine_set", "ssl_engine_disable" jeung "ssl_proxy_enable" geus dipindahkeun tina mod_ssl ka keusikan utama (inti). Kasebut nyaéta dimungkinkeun pikeun ngagunakeun modul SSL alternatif pikeun ngajaga sambungan via mod_proxy. Ditambahkeun kamampuhan pikeun log konci swasta, nu bisa dipaké dina wireshark pikeun nganalisis lalulintas énkripsi.
  • Dina mod_proxy, parsing jalur stop kontak unix dialirkeun kana URL "proxy:" parantos gancangan.
  • Kamampuhan modul mod_md, anu dipaké pikeun ngajadikeun otomatis resi sareng pangropéa sertipikat nganggo protokol ACME (Automatic Certificate Management Environment), parantos dilegakeun. Diidinan ngurilingan domain nganggo tanda petik sarta nyadiakeun rojongan pikeun tls-alpn-01 pikeun ngaran domain teu pakait sareng host virtual.
  • Ditambahkeun parameter StrictHostCheck, anu ngalarang netepkeun nami host anu henteu dikonpigurasikeun diantara argumen daptar "ngidinan".

sumber: opennet.ru

Tambahkeun komentar