ProHoster > Блог > Новини інтернету > Реліз http-сервера Apache 2.4.49 з усуненням уразливостей

Реліз http-сервера Apache 2.4.49 з усуненням уразливостей

Опубліковано реліз HTTP-сервера Apache 2.4.49, в якому представлено 27 змін та усунено 5 вразливостей:

  • CVE-2021-33193 — схильність mod_http2 до нового варіанту атаки «HTTP Request Smuggling», що дозволяє через відправлення спеціально оформлених клієнтських запитів вклинюватися в вміст запитів інших користувачів, що передаються через mod_proxy (наприклад, можна домогтися підстановки шкідливого JavaScript-кода .
  • CVE-2021-40438 - SSRF-уразливість (Server Side Request Forgery) в mod_proxy, що дозволяє через відправлення спеціально оформленого запиту uri-path домогтися перенаправлення запиту на сервер, вибраний атакуючим.
  • CVE-2021-39275 - Переповнення буфера в функції ap_escape_quotes. Вразливість позначена як безпечна, оскільки всі штатні модулі не передають зовнішні дані на цю функцію. Але теоретично можливо існують сторонні модулі, якими можна зробити атаку.
  • CVE-2021-36160 - читання з області поза межами буфера в модулі mod_proxy_uwsgi, що призводить до краху.
  • CVE-2021-34798 - розйменування нульового покажчика, що призводить до краху процесу при обробці спеціально оформлених запитів.

Найбільш помітні зміни, не пов'язані з безпекою:

  • Достатньо багато внутрішніх змін у mod_ssl. З mod_ssl в основну начинку (core) перенесені налаштування "ssl_engine_set", "ssl_engine_disable" та "ssl_proxy_enable". Надано можливість застосування альтернативних SSL-модулів для захисту з'єднань через mod_proxy. Додана можливість ведення лога закритих ключів, який можна використовувати у wireshark для аналізу зашифрованого трафіку.
  • У mod_proxy прискорено розбір шляхів з unix socket, що передаються URL «proxy:».
  • Розширено можливості модуля mod_md, який використовується для автоматизації отримання та обслуговування сертифікатів з використанням протоколу ACME (Automatic Certificate Management Environment). Дозволено обрамлення лапками доменів у та надано підтримку tls-alpn-01 для доменних імен, не прив'язаних до віртуальних хостів.
  • Доданий параметр StrictHostCheck, який забороняє вказівку не налаштованих імен хостів у числі аргументів списку allow.

Джерело: opennet.ru

Додати коментар або відгук