Ang Apache HTTP server 2.4.49 ay inilabas, na nagpapakilala ng 27 na pagbabago at nag-aalis ng 5 mga kahinaan:
- CVE-2021-33193 - mod_http2 ay madaling kapitan sa isang bagong variant ng "HTTP Request Smuggling" na pag-atake, na nagbibigay-daan, sa pamamagitan ng pagpapadala ng mga espesyal na idinisenyong kahilingan ng kliyente, na i-wedge ang sarili sa mga nilalaman ng mga kahilingan mula sa ibang mga user na ipinadala sa pamamagitan ng mod_proxy (halimbawa, maaari mong makamit ang pagpasok ng malisyosong JavaScript code sa session ng isa pang user ng site) .
- Ang CVE-2021-40438 ay isang kahinaan ng SSRF (Server Side Request Forgery) sa mod_proxy, na nagbibigay-daan sa kahilingan na ma-redirect sa isang server na pinili ng attacker sa pamamagitan ng pagpapadala ng espesyal na ginawang uri-path na kahilingan.
- CVE-2021-39275 - Buffer overflow sa ap_escape_quotes function. Ang kahinaan ay minarkahan bilang benign dahil ang lahat ng karaniwang mga module ay hindi nagpapasa ng panlabas na data sa function na ito. Ngunit ito ay theoretically posible na may mga third-party na mga module kung saan ang isang pag-atake ay maaaring isagawa.
- CVE-2021-36160 - Out-of-bounds reads sa mod_proxy_uwsgi module na nagdudulot ng pag-crash.
- CVE-2021-34798 - Isang NULL pointer dereference na nagdudulot ng pag-crash ng proseso kapag nagpoproseso ng mga espesyal na ginawang kahilingan.
Ang pinaka-kapansin-pansing mga pagbabagong hindi pangseguridad ay:
- Napakaraming panloob na pagbabago sa mod_ssl. Ang mga setting na "ssl_engine_set", "ssl_engine_disable" at "ssl_proxy_enable" ay inilipat mula sa mod_ssl patungo sa pangunahing pagpuno (core). Posibleng gumamit ng mga alternatibong SSL module upang protektahan ang mga koneksyon sa pamamagitan ng mod_proxy. Idinagdag ang kakayahang mag-log ng mga pribadong key, na maaaring magamit sa wireshark upang pag-aralan ang naka-encrypt na trapiko.
- Sa mod_proxy, ang pag-parse ng mga unix socket path na ipinasa sa "proxy:" URL ay pinabilis.
- Ang mga kakayahan ng mod_md module, na ginamit upang i-automate ang pagtanggap at pagpapanatili ng mga sertipiko gamit ang protocol ng ACME (Automatic Certificate Management Environment), ay pinalawak. Pinapayagan na palibutan ang mga domain na may mga quote sa at nagbigay ng suporta para sa tls-alpn-01 para sa mga domain name na hindi nauugnay sa mga virtual na host.
- Idinagdag ang parameter na StrictHostCheck, na nagbabawal sa pagtukoy ng mga hindi na-configure na hostname sa mga argumento ng listahan ng "payagan".
Pinagmulan: opennet.ru