ProHoster > blog > habari za mtandao > Utoaji wa seva ya Apache 2.4.49 http na udhaifu umewekwa

Utoaji wa seva ya Apache 2.4.49 http na udhaifu umewekwa

Seva ya Apache HTTP 2.4.49 imetolewa, ikileta mabadiliko 27 na kuondoa udhaifu 5:

  • CVE-2021-33193 - mod_http2 inaweza kuathiriwa na lahaja mpya ya shambulio la "HTTP Ombi Usafirishaji", ambalo huruhusu, kwa kutuma maombi maalum ya mteja, kujikita katika maudhui ya maombi kutoka kwa watumiaji wengine yanayotumwa kupitia mod_proksi (kwa mfano, unaweza kufikia uwekaji wa msimbo hasidi wa JavaScript kwenye kikao cha mtumiaji mwingine wa tovuti) .
  • CVE-2021-40438 ni hatari ya SSRF (Server Side Request Forgery) katika mod_proksi, ambayo inaruhusu ombi lielekezwe kwenye seva iliyochaguliwa na mvamizi kwa kutuma ombi lililoundwa mahususi la uri-path.
  • CVE-2021-39275 - Bafa kufurika katika chaguo za kukokotoa za ap_escape_quotes. Athari hii imetiwa alama kuwa mbaya kwa sababu moduli zote za kawaida hazipitishi data ya nje kwa chaguo hili la kukokotoa. Lakini inawezekana kinadharia kuwa kuna moduli za watu wengine ambazo shambulio linaweza kufanywa.
  • CVE-2021-36160 - Inasomwa nje ya mipaka katika moduli ya mod_proxy_uwsgi na kusababisha ajali.
  • CVE-2021-34798 - Kielekezi NULL kikiachana na kusababisha hitilafu ya mchakato wakati wa kuchakata maombi yaliyoundwa mahususi.

Mabadiliko muhimu zaidi yasiyo ya usalama:

  • Mabadiliko mengi ya ndani katika mod_ssl. Mipangilio "ssl_engine_set", "ssl_engine_disable" na "ssl_proxy_enable" imehamishwa kutoka mod_ssl hadi kujaza kuu (msingi). Inawezekana kutumia moduli mbadala za SSL ili kulinda miunganisho kupitia mod_proxy. Imeongeza uwezo wa kuweka funguo za faragha, ambazo zinaweza kutumika katika wireshark kuchanganua trafiki iliyosimbwa.
  • Katika mod_proksi, uchanganuzi wa njia za soketi unix zilizopitishwa kwenye URL ya "proksi:" umeharakishwa.
  • Uwezo wa moduli ya mod_md, inayotumika kutayarisha upokeaji na udumishaji wa vyeti kiotomatiki kwa kutumia itifaki ya ACME (Mazingira ya Usimamizi wa Cheti Kiotomatiki), umepanuliwa. Inaruhusiwa kuzunguka vikoa kwa kunukuu ndani na kutoa usaidizi kwa tls-alpn-01 kwa majina ya vikoa ambayo hayahusiani na wapangishi pepe.
  • Imeongeza kigezo cha StrictHostCheck, ambacho kinakataza kubainisha majina ya wapangishi ambayo hayajasanidiwa kati ya hoja za orodha ya "ruhusu".

Chanzo: opennet.ru

Kuongeza maoni