Релиз http-сервера Apache 2.4.49 с устранением уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей:
- CVE-2021-33193 - подверженность mod_http2 новому варианту атаки "HTTP Request Smuggling", позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта).
- CVE-2021-40438 - SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим.
- CVE-2021-39275 - переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно существуют сторонние модули, через которые можно совершить атаку.
- CVE-2021-36160 - чтений из области вне границ буфера в модуле mod_proxy_uwsgi, приводящее к краху.
- CVE-2021-34798 - разыменование нулевого указателя, приводящее к краху процесса при обработке специальной оформленных запросов.
Наиболее заметные изменения, не связанные с безопасностью:
- Достаточно много внутренних изменений в mod_ssl. Из mod_ssl в основную начинку (core) перенесены настройки "ssl_engine_set", "ssl_engine_disable" и "ssl_proxy_enable". Предоставлена возможность применения альтернативных SSL-модулей для защиты соединений через mod_proxy. Добавлена возможность ведения лога закрытых ключей, который можно использовать в wireshark для анализа зашифрованного трафика.
- В mod_proxy ускорен разбор путей с unix socket, передаваемых в URL "proxy:".
- Расширены возможности модуля mod_md, применяемого для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Разрешено обрамление кавычками доменов в <MDomain ...> и предоставлена поддержка tls-alpn-01 для доменных имён, не привязанных к виртуальным хостам.
- Добавлен параметр StrictHostCheck, запрещающий указание не настроенных имён хостов в числе аргументов списка "allow".
===========
Источник:
OpenNet.RU
===========
Похожие новости
- [url=https://www.mail-archive.com/announce@httpd.apache.org/msg00161.html ]Главная ссылка к новости (https://www.mail-archive.com/a...)[/url]
- OpenNews: Релиз http-сервера Apache 2.4.48
- OpenNews: Для http-сервера Apache будет подготовлен TLS-модуль, написанный на языке Rust
- OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
- OpenNews: ALPACA - новая техника MITM-атак на HTTPS
- OpenNews: Уязвимость в http2-модуле из состава Node.js
Похожие новости:
- Фонд Apache опубликовал отчёт за 2021 финансовый год
- Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
- Доступна СУБД Apache Cassandra 4.0
- В Chrome 94 появится режим HTTPS-First
- [Программирование, Big Data, Конференции, Искусственный интеллект] BeeTech 2021: обзор докладов big-data, искуственный интеллект, IT-архитектура, QA, Back-End
- [Информационная безопасность, DNS, Разработка под Windows, Софт] В превью Windows 11 появился DNS-over-HTTPS
- В Chrome добавлена настройка для работы только через HTTPS
- [Сетевые технологии, Apache] Настройка Sendmail для отправки почты без попадания в Спам
- [Информационная безопасность] Как государство пыталось в HTTPS, но не осилило
- [Open source, Распределённые системы] Apache Ignite 3: распределённая БД своими руками, next level
Теги для поиска: #_apache, #_http
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:06
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:06
Часовой пояс: UTC + 5