Релиз http-сервера Apache 2.4.49 с устранением уязвимостей
16 сентября 2021 года
Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений(недоступная ссылка) и устранено 5 уязвимостей:
- CVE-2021-33193 - подверженность mod_http2 новому варианту атаки "HTTP Request Smuggling", позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта).
- CVE-2021-40438 - SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим.
- CVE-2021-39275 - переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно существуют сторонние модули, через которые можно совершить атаку.
- CVE-2021-36160 - чтений из области вне границ буфера в модуле mod_proxy_uwsgi, приводящее к краху.
- CVE-2021-34798 - разыменование нулевого указателя, приводящее к краху процесса при обработке специальной оформленных запросов.
Наиболее заметные изменения, не связанные с безопасностью:
- Достаточно много внутренних изменений в mod_ssl. Из mod_ssl в основную начинку (core) перенесены настройки "ssl_engine_set", "ssl_engine_disable" и "ssl_proxy_enable". Предоставлена возможность применения альтернативных SSL-модулей для защиты соединений через mod_proxy. Добавлена возможность ведения лога закрытых ключей, который можно использовать в wireshark для анализа зашифрованного трафика.
- В mod_proxy ускорен разбор путей с unix socket, передаваемых в URL "proxy:".
- Расширены возможности модуля mod_md, применяемого для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Разрешено обрамление кавычками доменов в <MDomain ...> и предоставлена поддержка tls-alpn-01 для доменных имён, не привязанных к виртуальным хостам.
- Добавлен параметр StrictHostCheck, запрещающий указание не настроенных имён хостов в числе аргументов списка "allow".
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.