Apache HTTP 服务器 2.4.49 已发布,引入了 27 个更改并消除了 5 个漏洞:
- CVE-2021-33193 - mod_http2 容易受到“HTTP 请求走私”攻击的新变体的影响,该攻击允许通过发送专门设计的客户端请求,将自身嵌入到通过 mod_proxy 传输的其他用户的请求内容中(例如,您可以实现将恶意 JavaScript 代码插入到该站点的另一个用户的会话中)。
- CVE-2021-40438 是 mod_proxy 中的 SSRF(服务器端请求伪造)漏洞,该漏洞允许通过发送特制的 uri 路径请求将请求重定向到攻击者选择的服务器。
- CVE-2021-39275 - ap_escape_quotes 函数中的缓冲区溢出。 该漏洞被标记为良性,因为所有标准模块都不向此函数传递外部数据。 但理论上有可能存在可以通过第三方模块进行攻击的情况。
- CVE-2021-36160 - mod_proxy_uwsgi 模块中的越界读取导致崩溃。
- CVE-2021-34798 - 处理特制请求时,NULL 指针取消引用会导致进程崩溃。
最显着的非安全变化是:
- mod_ssl 的内部变化相当多。 设置“ssl_engine_set”、“ssl_engine_disable”和“ssl_proxy_enable”已从 mod_ssl 移至主要填充(核心)。 可以使用替代 SSL 模块来通过 mod_proxy 保护连接。 添加了记录私钥的功能,可用于在wireshark中分析加密流量。
- 在 mod_proxy 中,对传递到“proxy:”URL 的 unix 套接字路径的解析得到了加速。
- mod_md 模块的功能已得到扩展,该模块用于使用 ACME(自动证书管理环境)协议自动接收和维护证书。 允许用引号将域括起来并为与虚拟主机不关联的域名提供了 tls-alpn-01 支持。
- 添加了 StrictHostCheck 参数,该参数禁止在“允许”列表参数中指定未配置的主机名。
来源: opennet.ru