Релиз http-сервера Apache 2.4.49 с устранением уязвимостей

Kate

Administrator
Команда форума
Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей:

  • CVE-2021-33193 - подверженность mod_http2 новому варианту атаки "HTTP Request Smuggling", позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта).
  • CVE-2021-40438 - SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим.
  • CVE-2021-39275 - переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно существуют сторонние модули, через которые можно совершить атаку.
  • CVE-2021-36160 - чтений из области вне границ буфера в модуле mod_proxy_uwsgi, приводящее к краху.
  • CVE-2021-34798 - разыменование нулевого указателя, приводящее к краху процесса при обработке специальной оформленных запросов.
Наиболее заметные изменения, не связанные с безопасностью:

  • Достаточно много внутренних изменений в mod_ssl. Из mod_ssl в основную начинку (core) перенесены настройки "ssl_engine_set", "ssl_engine_disable" и "ssl_proxy_enable". Предоставлена возможность применения альтернативных SSL-модулей для защиты соединений через mod_proxy. Добавлена возможность ведения лога закрытых ключей, который можно использовать в wireshark для анализа зашифрованного трафика.
  • В mod_proxy ускорен разбор путей с unix socket, передаваемых в URL "proxy:".
  • Расширены возможности модуля mod_md, применяемого для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Разрешено обрамление кавычками доменов в <MDomain ...> и предоставлена поддержка tls-alpn-01 для доменных имён, не привязанных к виртуальным хостам.
  • Добавлен параметр StrictHostCheck, запрещающий указание не настроенных имён хостов в числе аргументов списка "allow".

 
Сверху