Prohoster > Blog > tin tức mạng > Bản phát hành máy chủ http Apache 2.4.49 với các lỗ hổng đã được sửa

Bản phát hành máy chủ http Apache 2.4.49 với các lỗ hổng đã được sửa

Máy chủ Apache HTTP 2.4.49 đã được phát hành, giới thiệu 27 thay đổi và loại bỏ 5 lỗ hổng:

  • CVE-2021-33193 - mod_http2 dễ bị ảnh hưởng bởi một biến thể mới của cuộc tấn công "Lừa đảo yêu cầu HTTP", cho phép, bằng cách gửi các yêu cầu máy khách được thiết kế đặc biệt, tự chèn chính nó vào nội dung yêu cầu từ những người dùng khác được truyền qua mod_proxy (ví dụ: bạn có thể thực hiện việc chèn mã JavaScript độc hại vào phiên của người dùng khác trên trang web).
  • CVE-2021-40438 là lỗ hổng SSRF (Giả mạo yêu cầu phía máy chủ) trong mod_proxy, cho phép chuyển hướng yêu cầu đến máy chủ do kẻ tấn công chọn bằng cách gửi yêu cầu đường dẫn uri được tạo đặc biệt.
  • CVE-2021-39275 - Tràn bộ đệm trong hàm ap_escape_quotes. Lỗ hổng này được đánh dấu là lành tính vì tất cả các mô-đun tiêu chuẩn không truyền dữ liệu bên ngoài tới chức năng này. Nhưng về mặt lý thuyết, có thể có các mô-đun của bên thứ ba mà qua đó cuộc tấn công có thể được thực hiện.
  • CVE-2021-36160 - Đọc ngoài giới hạn trong mô-đun mod_proxy_uwsgi gây ra sự cố.
  • CVE-2021-34798 - Việc vô hiệu hóa con trỏ NULL gây ra sự cố quy trình khi xử lý các yêu cầu được tạo đặc biệt.

Những thay đổi không liên quan đến bảo mật đáng chú ý nhất là:

  • Khá nhiều thay đổi nội bộ trong mod_ssl. Các cài đặt “ssl_engine_set”, “ssl_engine_disable” và “ssl_proxy_enable” đã được chuyển từ mod_ssl sang phần điền chính (lõi). Có thể sử dụng các mô-đun SSL thay thế để bảo vệ các kết nối thông qua mod_proxy. Đã thêm khả năng ghi lại khóa riêng, có thể được sử dụng trong wireshark để phân tích lưu lượng được mã hóa.
  • Trong mod_proxy, quá trình phân tích cú pháp các đường dẫn ổ cắm unix được chuyển vào URL “proxy:” đã được tăng tốc.
  • Các khả năng của mô-đun mod_md, được sử dụng để tự động hóa việc nhận và duy trì chứng chỉ bằng giao thức ACME (Môi trường quản lý chứng chỉ tự động), đã được mở rộng. Nó được phép bao quanh các tên miền với dấu ngoặc kép trong và cung cấp hỗ trợ cho tls-alpn-01 cho các tên miền không được liên kết với máy chủ ảo.
  • Đã thêm tham số StricthostCheck, cấm chỉ định tên máy chủ chưa được định cấu hình trong số các đối số danh sách “cho phép”.

Nguồn: opennet.ru

Thêm một lời nhận xét