ProHoster > Blog > internet haberleri > Güvenlik açıkları düzeltilmiş Apache 2.4.49 http sunucusu sürümü

Güvenlik açıkları düzeltilmiş Apache 2.4.49 http sunucusu sürümü

2.4.49 değişiklik ve sabit 27 güvenlik açığı sunan Apache 5 HTTP sunucusu sürümü yayınlandı:

  • CVE-2021-33193 - özel olarak tasarlanmış istemci istekleri göndererek diğer kullanıcıların mod_proxy aracılığıyla iletilen isteklerinin içeriğine sıkıştırmaya izin veren HTTP İstek Kaçakçılığı saldırısının yeni bir çeşidine karşı mod_http2 duyarlılığı (örneğin, sitenin başka bir kullanıcısının oturumunda kötü amaçlı JavaScript kodunun değiştirilmesi) .
  • CVE-2021-40438 - mod_proxy'de, özel olarak tasarlanmış bir uri-path isteği göndererek isteğin saldırgan tarafından seçilen sunucuya yeniden yönlendirilmesine izin veren SSRF (Sunucu Tarafı İstek Sahteciliği) güvenlik açığı.
  • CVE-2021-39275 - ap_escape_quotes işlevinde arabellek taşması. Tüm standart modüller bu işleve harici veri aktarmadığından güvenlik açığı tehlikeli değil olarak işaretlenmiştir. Ancak teorik olarak bir saldırının gerçekleştirilebileceği üçüncü taraf modüllerin olması mümkündür.
  • CVE-2021-36160 - mod_proxy_uwsgi modülünde sınır dışı okumalar, kilitlenmeye neden oluyor.
  • CVE-2021-34798 - Özel hazırlanmış istekler işlenirken işlemin çökmesine neden olan boş işaretçi başvurusu.

Güvenlikle ilgili olmayan en dikkate değer değişiklikler şunlardır:

  • mod_ssl'de oldukça fazla dahili değişiklik. “ssl_engine_set”, “ssl_engine_disable” ve “ssl_proxy_enable” ayarları mod_ssl'den ana dolguya (çekirdek) taşındı. mod_proxy üzerinden güvenli bağlantı sağlamak için alternatif SSL modüllerini kullanma olanağı sağlandı. Wireshark'ta şifrelenmiş trafiği analiz etmek için kullanılabilen özel anahtarları günlüğe kaydetme özelliği eklendi.
  • Mod_proxy, "proxy:" URL'lerinde iletilen unix soket yollarının ayrıştırılmasını hızlandırdı.
  • ACME (Otomatik Sertifika Yönetim Ortamı) protokolünü kullanarak sertifikaların alınmasını ve bakımını otomatikleştirmek için kullanılan mod_md modülünün yetenekleri genişletildi. Şuradaki etki alanlarının alıntılanmasına izin verildi: ve sanal ana bilgisayarlara bağlı olmayan alan adları için tls-alpn-01 desteği sağladı.
  • Yapılandırılmamış ana bilgisayar adlarını "izin ver" listesine bağımsız değişken olarak devre dışı bırakmak için StrictHostCheck seçeneği eklendi.

Kaynak: opennet.ru

Yorum ekle