ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > అపాచీ 2.4.49 http సర్వర్ విడుదల బలహీనతలతో పరిష్కరించబడింది

అపాచీ 2.4.49 http సర్వర్ విడుదల బలహీనతలతో పరిష్కరించబడింది

Apache HTTP సర్వర్ 2.4.49 విడుదల చేయబడింది, 27 మార్పులను పరిచయం చేసింది మరియు 5 దుర్బలత్వాలను తొలగిస్తోంది:

  • CVE-2021-33193 - mod_http2 "HTTP అభ్యర్థన స్మగ్లింగ్" దాడి యొక్క కొత్త వైవిధ్యానికి లోనవుతుంది, ఇది ప్రత్యేకంగా రూపొందించిన క్లయింట్ అభ్యర్థనలను పంపడం ద్వారా, mod_proxy ద్వారా ప్రసారం చేయబడిన ఇతర వినియోగదారుల నుండి అభ్యర్థనల కంటెంట్‌లలోకి ప్రవేశించడానికి అనుమతిస్తుంది (ఉదాహరణకు, మీరు సైట్ యొక్క మరొక వినియోగదారు సెషన్‌లో హానికరమైన జావాస్క్రిప్ట్ కోడ్‌ని చొప్పించవచ్చు) .
  • CVE-2021-40438 అనేది mod_proxyలో SSRF (సర్వర్ సైడ్ రిక్వెస్ట్ ఫోర్జరీ) దుర్బలత్వం, ఇది ప్రత్యేకంగా రూపొందించిన uri-path అభ్యర్థనను పంపడం ద్వారా దాడి చేసే వ్యక్తి ఎంచుకున్న సర్వర్‌కు అభ్యర్థనను మళ్లించడానికి అనుమతిస్తుంది.
  • CVE-2021-39275 - ap_escape_quotes ఫంక్షన్‌లో బఫర్ ఓవర్‌ఫ్లో. అన్ని ప్రామాణిక మాడ్యూల్‌లు ఈ ఫంక్షన్‌కు బాహ్య డేటాను పాస్ చేయనందున దుర్బలత్వం నిరపాయమైనదిగా గుర్తించబడింది. కానీ థర్డ్-పార్టీ మాడ్యూల్‌ల ద్వారా దాడిని నిర్వహించడం సిద్ధాంతపరంగా సాధ్యమే.
  • CVE-2021-36160 - క్రాష్‌కు కారణమయ్యే mod_proxy_uwsgi మాడ్యూల్‌లో సరిహద్దుల వెలుపల రీడ్‌లు.
  • CVE-2021-34798 - ప్రత్యేకంగా రూపొందించిన అభ్యర్థనలను ప్రాసెస్ చేస్తున్నప్పుడు ప్రాసెస్ క్రాష్‌కు కారణమయ్యే NULL పాయింటర్ డిరిఫరెన్స్.

అత్యంత ముఖ్యమైన నాన్-సెక్యూరిటీ మార్పులు:

  • mod_sslలో చాలా అంతర్గత మార్పులు. “ssl_engine_set”, “ssl_engine_disable” మరియు “ssl_proxy_enable” సెట్టింగ్‌లు mod_ssl నుండి మెయిన్ ఫిల్లింగ్ (కోర్)కి తరలించబడ్డాయి. mod_proxy ద్వారా కనెక్షన్‌లను రక్షించడానికి ప్రత్యామ్నాయ SSL మాడ్యూల్‌లను ఉపయోగించడం సాధ్యమవుతుంది. గుప్తీకరించిన ట్రాఫిక్‌ను విశ్లేషించడానికి వైర్‌షార్క్‌లో ఉపయోగించే ప్రైవేట్ కీలను లాగ్ చేసే సామర్థ్యం జోడించబడింది.
  • mod_proxyలో, “ప్రాక్సీ:” URLకి పంపబడిన unix సాకెట్ పాత్‌ల పార్సింగ్ వేగవంతం చేయబడింది.
  • ACME (ఆటోమేటిక్ సర్టిఫికేట్ మేనేజ్‌మెంట్ ఎన్విరాన్‌మెంట్) ప్రోటోకాల్‌ను ఉపయోగించి సర్టిఫికెట్‌ల రసీదు మరియు నిర్వహణను ఆటోమేట్ చేయడానికి ఉపయోగించే mod_md మాడ్యూల్ యొక్క సామర్థ్యాలు విస్తరించబడ్డాయి. కోట్‌లతో డొమైన్‌లను చుట్టుముట్టడానికి ఇది అనుమతించబడుతుంది మరియు వర్చువల్ హోస్ట్‌లతో అనుబంధించబడని డొమైన్ పేర్ల కోసం tls-alpn-01 కోసం మద్దతును అందించింది.
  • StrictHostCheck పరామితి జోడించబడింది, ఇది “అనుమతించు” జాబితా ఆర్గ్యుమెంట్‌లలో కాన్ఫిగర్ చేయని హోస్ట్ పేర్లను పేర్కొనడాన్ని నిషేధిస్తుంది.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి