Релиз http-сервера Apache 2.4.49 с устранением уязвимостей

Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей:

  • CVE-2021-33193 — подверженность mod_http2 новому варианту атаки «HTTP Request Smuggling», позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта).
  • CVE-2021-40438 — SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим.
  • CVE-2021-39275 — переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно существуют сторонние модули, через которые можно совершить атаку.
  • CVE-2021-36160 — чтений из области вне границ буфера в модуле mod_proxy_uwsgi, приводящее к краху.
  • CVE-2021-34798 — разыменование нулевого указателя, приводящее к краху процесса при обработке специальной оформленных запросов.

Наиболее заметные изменения, не связанные с безопасностью:

  • Достаточно много внутренних изменений в mod_ssl. Из mod_ssl в основную начинку (core) перенесены настройки «ssl_engine_set», «ssl_engine_disable» и «ssl_proxy_enable». Предоставлена возможность применения альтернативных SSL-модулей для защиты соединений через mod_proxy. Добавлена возможность ведения лога закрытых ключей, который можно использовать в wireshark для анализа зашифрованного трафика.
  • В mod_proxy ускорен разбор путей с unix socket, передаваемых в URL «proxy:».
  • Расширены возможности модуля mod_md, применяемого для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Разрешено обрамление кавычками доменов в ‹MDomain …› и предоставлена поддержка tls-alpn-01 для доменных имён, не привязанных к виртуальным хостам.
  • Добавлен параметр StrictHostCheck, запрещающий указание не настроенных имён хостов в числе аргументов списка «allow».

Источник: http://www.opennet.ru/opennews/art.shtml?num=55809