Apache 2.4.49 הטטפּ סערווער מעלדונג מיט וואַלנעראַביליטיז פאַרפעסטיקט

די אַפּאַטשי הטטפּ סערווער 2.4.49 איז רעלעאַסעד, ינטראָודוסינג 27 ענדערונגען און ילימאַנייטינג 5 וואַלנעראַביליטיז:

• CVE-2021-33193 - mod_http2 איז סאַסעפּטאַבאַל צו אַ נייַע וואַריאַנט פון די "HTTP Request Smuggling" באַפאַלן, וואָס אַלאַוז, דורך שיקט ספּעשלי דיזיינד קליענט ריקוועס, צו וועדזש זיך אין די אינהאַלט פון ריקוועס פון אנדערע יוזערז טראַנסמיטטעד דורך mod_proxy (למשל, איר קענען דערגרייכן די ינסערשאַן פון בייזע דזשאַוואַסקריפּט קאָד אין די סעסיע פון ​​אן אנדער באַניצער פון דעם פּלאַץ).
• CVE-2021-40438 איז אַ וואַלנעראַביליטי פון SSRF (Server Side Request Forgery) אין mod_proxy, וואָס אַלאַוז די בקשה צו זיין רידערעקטיד צו אַ סערווער אויסדערוויילט דורך די אַטאַקער דורך שיקן אַ ספּעציעל קראַפטעד ורי-פּאַט בעטן.
• CVE-2021-39275 - באַפער אָוווערפלאָו אין די ap_escape_quotes פונקציע. די וואַלנעראַביליטי איז אנגעצייכנט ווי גוט ווייַל אַלע נאָרמאַל מאַדזשולז טאָן ניט פאָרן פונדרויסנדיק דאַטן צו דעם פֿונקציע. אבער עס איז טעאָרעטיש מעגלעך אַז עס זענען דריט-פּאַרטיי מאַדזשולז דורך וואָס אַ באַפאַלן קענען זיין דורכגעקאָכט.
• CVE-2021-36160 - אַרויס-פון-גווול לייענט אין די mod_proxy_uwsgi מאָדולע קאָזינג אַ קראַך.
• CVE-2021-34798 - א NULL טייַטל דיפעראַנסיז וואָס פאַרשאַפן אַ פּראָצעס קראַך ווען פּראַסעסינג ספּעציעל קראַפטעד ריקוועס.

די מערסט נאָוטאַבאַל ניט-זיכערהייט ענדערונגען זענען:

• גאַנץ אַ פּלאַץ פון ינערלעך ענדערונגען אין mod_ssl. די סעטטינגס "ssl_engine_set", "ssl_engine_disable" און "ssl_proxy_enable" זענען אריבערגעפארן פון מאָד_ססל צו די הויפּט פילונג (האַרץ). עס איז מעגלעך צו נוצן אָלטערנאַטיוו ססל מאַדזשולז צו באַשיצן קאַנעקשאַנז דורך מאָד_פּראָקסי. צוגעגעבן די פיייקייט צו קלאָץ פּריוואַט שליסלען, וואָס קענען זיין געוויינט אין ווירעשאַרק צו אַנאַלייז ינקריפּטיד פאַרקער.
• אין מאָד_פּראָקסי, די פּאַרסינג פון יוניקס כאָלעל פּאַטס דורכגעגאנגען אין די "פּראָקסי:" URL איז אַקסעלערייטיד.
• די קייפּאַבילאַטיז פון די מאָד_מד מאָדולע, געניצט צו אָטאַמייט די קאַבאָלע און וישאַלט פון סערטיפיקאַץ ניצן די ACME (Automatic Certificate Management Environment) פּראָטאָקאָל, זענען יקספּאַנדיד. עס איז ערלויבט צו אַרומרינגלען דאָומיינז מיט קוואָטעס אין און צוגעשטעלט שטיצן פֿאַר tls-alpn-01 פֿאַר פעלד נעמען וואָס זענען נישט פארבונדן מיט ווירטואַל מחנות.
• צוגעגעבן די StrictHostCheck פּאַראַמעטער, וואָס פּראָוכיבאַץ ספּעציפיצירן אַנקאַנפיגיערד האָסטנאַמעס צווישן די "לאָזן" רשימה אַרגומענטן.

מקור: opennet.ru