Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей:
- CVE-2021-33193 – подверженность mod_http2 новому варианту атаки “HTTP Request Smuggling”, позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта).
- CVE-2021-40438 – SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим.
- CVE-2021-39275 – переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно существуют сторонние модули, через которые можно совершить атаку.
- CVE-2021-36160 – чтений из области вне границ буфера в модуле mod_proxy_uwsgi, приводящее к краху.
- CVE-2021-34798 – разыменование нулевого указателя, приводящее к краху процесса при обработке специальной оформленных запросов.
Наиболее заметные изменения, не связанные с безопасностью:
- Достаточно много внутренних изменений в mod_ssl. Из mod_ssl в основную начинку (core) перенесены настройки “ssl_engine_set”, “ssl_engine_disable” и “ssl_proxy_enable”. Предоставлена возможность применения альтернативных SSL-модулей для защиты соединений через mod_proxy. Добавлена возможность ведения лога закрытых ключей, который можно использовать в wireshark для анализа зашифрованного трафика.
- В mod_proxy ускорен разбор путей с unix socket, передаваемых в URL “proxy:”.
- Расширены возможности модуля mod_md, применяемого для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Разрешено обрамление кавычками доменов в и предоставлена поддержка tls-alpn-01 для доменных имён, не привязанных к виртуальным хостам.
- Добавлен параметр StrictHostCheck, запрещающий указание не настроенных имён хостов в числе аргументов списка “allow”.
Release.
Ссылка here.