Apache HTTP సర్వర్ 2.4.49 విడుదల చేయబడింది, 27 మార్పులను పరిచయం చేసింది మరియు 5 దుర్బలత్వాలను తొలగిస్తోంది:
- CVE-2021-33193 - mod_http2 "HTTP అభ్యర్థన స్మగ్లింగ్" దాడి యొక్క కొత్త వైవిధ్యానికి లోనవుతుంది, ఇది ప్రత్యేకంగా రూపొందించిన క్లయింట్ అభ్యర్థనలను పంపడం ద్వారా, mod_proxy ద్వారా ప్రసారం చేయబడిన ఇతర వినియోగదారుల నుండి అభ్యర్థనల కంటెంట్లలోకి ప్రవేశించడానికి అనుమతిస్తుంది (ఉదాహరణకు, మీరు సైట్ యొక్క మరొక వినియోగదారు సెషన్లో హానికరమైన జావాస్క్రిప్ట్ కోడ్ని చొప్పించవచ్చు) .
- CVE-2021-40438 అనేది mod_proxyలో SSRF (సర్వర్ సైడ్ రిక్వెస్ట్ ఫోర్జరీ) దుర్బలత్వం, ఇది ప్రత్యేకంగా రూపొందించిన uri-path అభ్యర్థనను పంపడం ద్వారా దాడి చేసే వ్యక్తి ఎంచుకున్న సర్వర్కు అభ్యర్థనను మళ్లించడానికి అనుమతిస్తుంది.
- CVE-2021-39275 - ap_escape_quotes ఫంక్షన్లో బఫర్ ఓవర్ఫ్లో. అన్ని ప్రామాణిక మాడ్యూల్లు ఈ ఫంక్షన్కు బాహ్య డేటాను పాస్ చేయనందున దుర్బలత్వం నిరపాయమైనదిగా గుర్తించబడింది. కానీ థర్డ్-పార్టీ మాడ్యూల్ల ద్వారా దాడిని నిర్వహించడం సిద్ధాంతపరంగా సాధ్యమే.
- CVE-2021-36160 - క్రాష్కు కారణమయ్యే mod_proxy_uwsgi మాడ్యూల్లో సరిహద్దుల వెలుపల రీడ్లు.
- CVE-2021-34798 - ప్రత్యేకంగా రూపొందించిన అభ్యర్థనలను ప్రాసెస్ చేస్తున్నప్పుడు ప్రాసెస్ క్రాష్కు కారణమయ్యే NULL పాయింటర్ డిరిఫరెన్స్.
అత్యంత ముఖ్యమైన నాన్-సెక్యూరిటీ మార్పులు:
- mod_sslలో చాలా అంతర్గత మార్పులు. “ssl_engine_set”, “ssl_engine_disable” మరియు “ssl_proxy_enable” సెట్టింగ్లు mod_ssl నుండి మెయిన్ ఫిల్లింగ్ (కోర్)కి తరలించబడ్డాయి. mod_proxy ద్వారా కనెక్షన్లను రక్షించడానికి ప్రత్యామ్నాయ SSL మాడ్యూల్లను ఉపయోగించడం సాధ్యమవుతుంది. గుప్తీకరించిన ట్రాఫిక్ను విశ్లేషించడానికి వైర్షార్క్లో ఉపయోగించే ప్రైవేట్ కీలను లాగ్ చేసే సామర్థ్యం జోడించబడింది.
- mod_proxyలో, “ప్రాక్సీ:” URLకి పంపబడిన unix సాకెట్ పాత్ల పార్సింగ్ వేగవంతం చేయబడింది.
- ACME (ఆటోమేటిక్ సర్టిఫికేట్ మేనేజ్మెంట్ ఎన్విరాన్మెంట్) ప్రోటోకాల్ను ఉపయోగించి సర్టిఫికెట్ల రసీదు మరియు నిర్వహణను ఆటోమేట్ చేయడానికి ఉపయోగించే mod_md మాడ్యూల్ యొక్క సామర్థ్యాలు విస్తరించబడ్డాయి. కోట్లతో డొమైన్లను చుట్టుముట్టడానికి ఇది అనుమతించబడుతుంది మరియు వర్చువల్ హోస్ట్లతో అనుబంధించబడని డొమైన్ పేర్ల కోసం tls-alpn-01 కోసం మద్దతును అందించింది.
- StrictHostCheck పరామితి జోడించబడింది, ఇది “అనుమతించు” జాబితా ఆర్గ్యుమెంట్లలో కాన్ఫిగర్ చేయని హోస్ట్ పేర్లను పేర్కొనడాన్ని నిషేధిస్తుంది.
మూలం: opennet.ru