The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-сервера Apache 2.4.49 с устранением уязвимостей

16.09.2021 20:13

Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей:

  • CVE-2021-33193 - подверженность mod_http2 новому варианту атаки "HTTP Request Smuggling", позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта).
  • CVE-2021-40438 - SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим.
  • CVE-2021-39275 - переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно существуют сторонние модули, через которые можно совершить атаку.
  • CVE-2021-36160 - чтений из области вне границ буфера в модуле mod_proxy_uwsgi, приводящее к краху.
  • CVE-2021-34798 - разыменование нулевого указателя, приводящее к краху процесса при обработке специальной оформленных запросов.

Наиболее заметные изменения, не связанные с безопасностью:

  • Достаточно много внутренних изменений в mod_ssl. Из mod_ssl в основную начинку (core) перенесены настройки "ssl_engine_set", "ssl_engine_disable" и "ssl_proxy_enable". Предоставлена возможность применения альтернативных SSL-модулей для защиты соединений через mod_proxy. Добавлена возможность ведения лога закрытых ключей, который можно использовать в wireshark для анализа зашифрованного трафика.
  • В mod_proxy ускорен разбор путей с unix socket, передаваемых в URL "proxy:".
  • Расширены возможности модуля mod_md, применяемого для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Разрешено обрамление кавычками доменов в <MDomain ...> и предоставлена поддержка tls-alpn-01 для доменных имён, не привязанных к виртуальным хостам.
  • Добавлен параметр StrictHostCheck, запрещающий указание не настроенных имён хостов в числе аргументов списка "allow".


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Релиз http-сервера Apache 2.4.48
  3. OpenNews: Для http-сервера Apache будет подготовлен TLS-модуль, написанный на языке Rust
  4. OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
  5. OpenNews: ALPACA - новая техника MITM-атак на HTTPS
  6. OpenNews: Уязвимость в http2-модуле из состава Node.js
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55809-apache
Ключевые слова: apache, http
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.7, Аноним (7), 21:10, 16/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –3 +/
    Вроде как cockpit его использует?
     
  • 1.15, Аноним (15), 22:44, 16/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Переполнение буфера, выход за границ буфера и null pointer dereference... Никогда такого не было и вот опять!
     
     
  • 2.18, Аноним (18), 23:17, 16/09/2021 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Раст в продакшн компиляции тоже не проверяет выход за границы.
     
     
  • 3.19, Аноним (15), 23:44, 16/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Еще не надоело перепостивать это утверждение?
    https://doc.rust-lang.org/std/vec/struct.Vec.html
    "If you try to access an index which isn’t in the Vec, your software will panic"
    Если нужно чтобы после этого не падало - перехватывай панику.
    Или бери слайс и безопасно работай с ним.
    Или какие-то из крейтов - circular-buffer, ring-buffer. Вариантов куча.

     
     
  • 4.20, RustishishkA (?), 02:40, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Использовать крейты от Васянов в проде, да еще и в проекте выше уровня HelloWorld? Вы серьёзно?
     
     
  • 5.26, Аноним (26), 07:34, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ну ты же используешь либы от васянов на проде. Или ты все руками пишешь?
     
  • 5.27, Аноним (15), 08:44, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Ну так не используй! Там и до них варианты описаны.
    Пиши свой велосипед который "никогда не падает".
     
  • 4.29, Аноним (29), 10:46, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Я могу для C++ «««крейтов»»» понабрать будет так же безопасно. Но зачем?
     
     
  • 5.33, Аноним (26), 10:55, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Зачем безопасно? Хороший вопрос, рад, что ты задумался
     
     
  • 6.46, Аноним (46), 21:01, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Объясни подробненько плз, какая связь между Rust и безопасностью?
     
     
  • 7.50, Аноним (26), 11:52, 18/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Сразу после того, как ты объяснишь, каким образом к вопросу про необходимость писать безопасно на с++ ты приплел раст
     

  • 1.22, Аноним (22), 06:55, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Почти все российские хостеры до сих пор сидят на допотопной версии 2.4.6.
     
     
  • 2.23, лютый жабби__ (?), 07:13, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    >Почти все российские хостеры до сих пор сидят на допотопной версии 2.4.6.

    дык, там центос какой-нить, который патчит дыры.

     
     
  • 3.28, suffix (ok), 10:04, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Ну да у меня Centos и apache 2.4.6 - не вижу ничего плохого в этой "допотопной" версии учитывая что  перед apache свеженький nginx :)
     
     
  • 4.30, Аноним (29), 10:48, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Это как два презерватива.
     
     
  • 5.32, пох. (?), 10:51, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    причем оба дырявых
     
  • 3.31, пох. (?), 10:51, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Или там самосборный апач (что для хостера, для которого это основной сервис, логичненько) в котором нет ненужного mod_proxy и еще более ненужного uwsgi.

    А возможно и ненужного http/220 или сколько там сегодня модно.

     

  • 1.36, Аноним (36), 12:13, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Фух, ну уронить ладно, главное частью ботнета не стать.
     
     
  • 2.38, Аноним (29), 12:31, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Все уже обновили свои микротики?
     
     
  • 3.43, Аноним (43), 14:31, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Не знаю, у меня VDS
     
  • 3.44, Аноним (43), 14:33, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    WiFi не использую.
     
     
  • 4.51, aaassssa (?), 14:54, 19/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Микроволновка используется в качестве роутера
     

  • 1.41, Аноним (41), 13:25, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Однако
    Apache (c 1999) - 1519 CVE
    Nginx (c 2009) - 44 CVE
     
     
  • 2.47, Аноним (46), 21:03, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Это потому что Апач на дырявой сишечке. Ой и нжинкс на дырявой сишечке. Как так кто из растофанатиков объяснит?
     
  • 2.48, Аноним (48), 22:42, 17/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Однако
    Сравнение не совсем корректно - вы можете утверждать, что в случае Apache все, скажем, 1500 CVE не закрыты ДО 2009? Лучше (корректнее) сравнивать за одинаковый период.
     
     
  • 3.49, Аноним (49), 01:44, 18/09/2021 [^] [^^] [^^^] [ответить]  
    		• +/
    Удивляет не это, а соотношение найденных CVE в совокупности.
    Разница в 30 раз, пусть даже поделить на 2 ввиду того, что Nginx в 2 раза моложе.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру