புரோஹோஸ்டர் > Блог > இணைய செய்தி > Apache 2.4.49 http சேவையக வெளியீடு பாதிப்புகளுடன் சரி செய்யப்பட்டது

Apache 2.4.49 http சேவையக வெளியீடு பாதிப்புகளுடன் சரி செய்யப்பட்டது

Apache HTTP சர்வர் 2.4.49 வெளியிடப்பட்டது, 27 மாற்றங்களை அறிமுகப்படுத்தி 5 பாதிப்புகளை நீக்குகிறது:

  • CVE-2021-33193 - mod_http2 ஆனது "HTTP கோரிக்கை கடத்தல்" தாக்குதலின் புதிய மாறுபாட்டிற்கு ஆளாகிறது, இது பிரத்யேகமாக வடிவமைக்கப்பட்ட கிளையன்ட் கோரிக்கைகளை அனுப்புவதன் மூலம், mod_proxy மூலம் அனுப்பப்படும் பிற பயனர்களின் கோரிக்கைகளின் உள்ளடக்கங்களுக்கு தன்னை இணைத்துக் கொள்ள அனுமதிக்கிறது (எடுத்துக்காட்டாக, தளத்தின் மற்றொரு பயனரின் அமர்வில் தீங்கிழைக்கும் ஜாவாஸ்கிரிப்ட் குறியீட்டைச் செருகுவதை நீங்கள் அடையலாம்) .
  • CVE-2021-40438 என்பது mod_proxy இல் உள்ள SSRF (சர்வர் பக்க கோரிக்கை மோசடி) பாதிப்பு ஆகும், இது சிறப்பாக வடிவமைக்கப்பட்ட uri-path கோரிக்கையை அனுப்புவதன் மூலம் தாக்குபவர் தேர்ந்தெடுத்த சேவையகத்திற்கு கோரிக்கையை திருப்பி விட அனுமதிக்கிறது.
  • CVE-2021-39275 - ap_escape_quotes செயல்பாட்டில் இடையக வழிதல். அனைத்து நிலையான தொகுதிகளும் வெளிப்புறத் தரவை இந்தச் செயல்பாட்டிற்கு அனுப்பாததால், பாதிப்பு தீங்கற்றதாகக் குறிக்கப்படுகிறது. ஆனால் மூன்றாம் தரப்பு தொகுதிகள் உள்ளன, இதன் மூலம் தாக்குதலை நடத்த முடியும் என்பது கோட்பாட்டளவில் சாத்தியமாகும்.
  • CVE-2021-36160 - mod_proxy_uwsgi தொகுதியில் உள்ள வரம்புகளுக்கு அப்பாற்பட்ட வாசிப்புகள் செயலிழப்பை ஏற்படுத்துகின்றன.
  • CVE-2021-34798 - பிரத்யேகமாக வடிவமைக்கப்பட்ட கோரிக்கைகளைச் செயல்படுத்தும் போது செயல்முறை செயலிழப்பை ஏற்படுத்தும் ஒரு NULL சுட்டிக்காட்டி விலகல்.

மிகவும் குறிப்பிடத்தக்க பாதுகாப்பு அல்லாத மாற்றங்கள்:

  • mod_ssl இல் நிறைய உள் மாற்றங்கள். “ssl_engine_set”, “ssl_engine_disable” மற்றும் “ssl_proxy_enable” ஆகிய அமைப்புகள் mod_ssl இலிருந்து பிரதான நிரப்புதலுக்கு (கோர்) நகர்த்தப்பட்டுள்ளன. mod_proxy வழியாக இணைப்புகளைப் பாதுகாக்க மாற்று SSL தொகுதிகளைப் பயன்படுத்துவது சாத்தியமாகும். மறைகுறியாக்கப்பட்ட போக்குவரத்தை பகுப்பாய்வு செய்ய வயர்ஷார்க்கில் பயன்படுத்தக்கூடிய தனிப்பட்ட விசைகளை பதிவு செய்யும் திறன் சேர்க்கப்பட்டது.
  • mod_proxy இல், “ப்ராக்ஸி:” URL க்கு அனுப்பப்பட்ட unix சாக்கெட் பாதைகளின் பாகுபடுத்தல் துரிதப்படுத்தப்பட்டது.
  • ACME (தானியங்கி சான்றிதழ் மேலாண்மை சூழல்) நெறிமுறையைப் பயன்படுத்தி சான்றிதழ்களின் ரசீது மற்றும் பராமரிப்பை தானியக்கமாக்கப் பயன்படுத்தப்படும் mod_md தொகுதியின் திறன்கள் விரிவாக்கப்பட்டுள்ளன. மேற்கோள்களுடன் களங்களைச் சுற்றி வர இது அனுமதிக்கப்படுகிறது மற்றும் மெய்நிகர் ஹோஸ்ட்களுடன் தொடர்பில்லாத டொமைன் பெயர்களுக்கு tls-alpn-01 ஆதரவை வழங்கியது.
  • StrictHostCheck அளவுரு சேர்க்கப்பட்டது, இது "அனுமதி" பட்டியல் மதிப்புருக்களில் உள்ளமைக்கப்படாத ஹோஸ்ட்பெயர்களைக் குறிப்பிடுவதைத் தடுக்கிறது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்