Релиз http-сервера Apache 2.4.49 с устранением уязвимостей
Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей:
CVE-2021–33193 — подверженность mod_http2 новому варианту атаки «HTTP Request Smuggling», позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта).
CVE-2021–40438 — SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим.
CVE-2021–39275 — переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно существуют сторонние модули, через которые можно совершить атаку.
- CVE-2021–36160 — чтений из области вне границ буфера в модуле mod_proxy_uwsgi, приводящее к краху.
CVE-2021–34798 — разыменование нулевого указателя, приводящее к краху процесса при обработке специальной оформленных запросов.
Наиболее заметные изменения, не связанные с безопасностью:
Достаточно много внутренних изменений в mod_ssl. Из mod_ssl в основную начинку (core) перенесены настройки «ssl_engine_set», «ssl_engine_disable» и «ssl_proxy_enable». Предоставлена возможность применения альтернативных SSL-модулей для защиты соединений через mod_proxy. Добавлена возможность ведения лога закрытых ключей, который можно использовать в wireshark для анализа зашифрованного трафика.
- В mod_proxy ускорен разбор путей с unix socket, передаваемых в URL «proxy:».
Расширены возможности модуля mod_md, применяемого для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Разрешено обрамление кавычками доменов в ‹MDomain …› и предоставлена поддержка tls-alpn-01 для доменных имён, не привязанных к виртуальным хостам.
Добавлен параметр StrictHostCheck, запрещающий указание не настроенных имён хостов в числе аргументов списка «allow».
Источник: http://www.opennet.ru/opennews/art.shtml? num=55809
© OpenNet