ProHoster > Blog > ахбори интернет > Нашри сервери Apache 2.4.49 http бо осебпазириҳо ислоҳ

Нашри сервери Apache 2.4.49 http бо осебпазириҳо ислоҳ

Сервери HTTP Apache 2.4.49 бароварда шуд, ки 27 тағирот ворид мекунад ва 5 осебпазириро аз байн мебарад:

  • CVE-2021-33193 - mod_http2 ба варианти нави ҳамлаи "Кочоқи дархости HTTP" ҳассос аст, ки имкон медиҳад бо ирсоли дархостҳои муштарӣ, ки ба мундариҷаи дархостҳои корбарони дигар тавассути mod_proxy интиқол дода мешаванд, ворид шавад (масалан, шумо метавонед ба ворид кардани рамзи зараровари JavaScript ба сессияи корбари дигари сайт ноил шавед).
  • CVE-2021-40438 осебпазирии SSRF (Server Side Request Forgery) дар mod_proxy мебошад, ки имкон медиҳад дархост ба сервери интихобкардаи ҳамлагар тавассути ирсоли дархости махсуси uri-path равона карда шавад.
  • CVE-2021-39275 - Зиёд шудани буфер дар функсияи ap_escape_quotes. Осебӣ ҳамчун осебпазир қайд карда мешавад, зеро ҳама модулҳои стандартӣ маълумоти берунаро ба ин функсия намегузаранд. Аммо аз ҷиҳати назариявӣ имконпазир аст, ки модулҳои тарафи сеюм мавҷуданд, ки тавассути онҳо ҳамла анҷом дода мешавад.
  • CVE-2021-36160 - Хониши берун аз ҳудуд дар модули mod_proxy_uwsgi, ки боиси садама мегардад.
  • CVE-2021-34798 - Нишондиҳандаи NULL, ки ҳангоми коркарди дархостҳои махсус таҳияшуда боиси садамаи раванд мегардад.

Тағйироти муҳимтарин дар соҳаи амният:

  • Тағироти дохилӣ дар mod_ssl хеле зиёд аст. Танзимоти "ssl_engine_set", "ssl_engine_disable" ва "ssl_proxy_enable" аз mod_ssl ба пуркунии асосӣ (аслӣ) интиқол дода шуданд. Барои муҳофизат кардани пайвастҳо тавассути mod_proxy модулҳои алтернативии SSL-ро истифода бурдан мумкин аст. Имконияти сабти калидҳои хусусӣ илова карда шуд, ки онҳоро дар wireshark барои таҳлили трафики рамзгузорӣ истифода бурдан мумкин аст.
  • Дар mod_proxy, таҳлили роҳҳои розеткаи unix ба URL-и "прокси:" гузаштааст, суръат гирифт.
  • Имкониятҳои модули mod_md, ки барои автоматикунонии қабул ва нигоҳдории сертификатҳо бо истифода аз протоколи ACME (Automatic Certificate Management Environment) истифода мешавад, васеъ карда шуданд. Иҷозат дода мешавад, ки доменҳоро бо нохунакҳо иҳота кунанд ва дастгирии tls-alpn-01 барои номҳои домейнҳои бо ҳостҳои маҷозӣ алоқаманд нест.
  • Параметри StrictHostCheck илова карда шуд, ки нишон додани номҳои мизбони танзимнашударо дар байни далелҳои рӯйхат "иҷозат" манъ мекунад.

Манбаъ: opennet.ru

Илова Эзоҳ