Релиз http-сервера Apache 2.4.49 с устранением уязвимостей

16.09.2021 20:13

Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей:

CVE-2021-33193 - подверженность mod_http2 новому варианту атаки "HTTP Request Smuggling", позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта).
CVE-2021-40438 - SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим.
CVE-2021-39275 - переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно существуют сторонние модули, через которые можно совершить атаку.
CVE-2021-36160 - чтений из области вне границ буфера в модуле mod_proxy_uwsgi, приводящее к краху.
CVE-2021-34798 - разыменование нулевого указателя, приводящее к краху процесса при обработке специальной оформленных запросов.

Наиболее заметные изменения, не связанные с безопасностью:

Достаточно много внутренних изменений в mod_ssl. Из mod_ssl в основную начинку (core) перенесены настройки "ssl_engine_set", "ssl_engine_disable" и "ssl_proxy_enable". Предоставлена возможность применения альтернативных SSL-модулей для защиты соединений через mod_proxy. Добавлена возможность ведения лога закрытых ключей, который можно использовать в wireshark для анализа зашифрованного трафика.
В mod_proxy ускорен разбор путей с unix socket, передаваемых в URL "proxy:".
Расширены возможности модуля mod_md, применяемого для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Разрешено обрамление кавычками доменов в <MDomain ...> и предоставлена поддержка tls-alpn-01 для доменных имён, не привязанных к виртуальным хостам.
Добавлен параметр StrictHostCheck, запрещающий указание не настроенных имён хостов в числе аргументов списка "allow".

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/55809-apache

Ключевые слова: apache, http

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (26)

1.7, Аноним (7), 21:10, 16/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]	–3 +/–
Вроде как cockpit его использует?

1.15, Аноним (15), 22:44, 16/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+/–
Переполнение буфера, выход за границ буфера и null pointer dereference... Никогда такого не было и вот опять!

2.18, Аноним (18), 23:17, 16/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Раст в продакшн компиляции тоже не проверяет выход за границы.

3.19, Аноним (15), 23:44, 16/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Еще не надоело перепостивать это утверждение? https://doc.rust-lang.org/std/vec/struct.Vec.html "If you try to access an index which isn’t in the Vec, your software will panic" Если нужно чтобы после этого не падало - перехватывай панику. Или бери слайс и безопасно работай с ним. Или какие-то из крейтов - circular-buffer, ring-buffer. Вариантов куча.

4.20, RustishishkA (?), 02:40, 17/09/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–2 +/–
Использовать крейты от Васянов в проде, да еще и в проекте выше уровня HelloWorld? Вы серьёзно?

5.26, Аноним (26), 07:34, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Ну ты же используешь либы от васянов на проде. Или ты все руками пишешь?

5.27, Аноним (15), 08:44, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Ну так не используй! Там и до них варианты описаны. Пиши свой велосипед который "никогда не падает".

4.29, Аноним (29), 10:46, 17/09/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]	–1 +/–
Я могу для C++ «««крейтов»»» понабрать будет так же безопасно. Но зачем?

5.33, Аноним (26), 10:55, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Зачем безопасно? Хороший вопрос, рад, что ты задумался

6.46, Аноним (46), 21:01, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Объясни подробненько плз, какая связь между Rust и безопасностью?

7.50, Аноним (26), 11:52, 18/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Сразу после того, как ты объяснишь, каким образом к вопросу про необходимость писать безопасно на с++ ты приплел раст

1.22, Аноним (22), 06:55, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Почти все российские хостеры до сих пор сидят на допотопной версии 2.4.6.

2.23, лютый жабби__ (?), 07:13, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>Почти все российские хостеры до сих пор сидят на допотопной версии 2.4.6. дык, там центос какой-нить, который патчит дыры.

3.28, suffix (ok), 10:04, 17/09/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–1 +/–
Ну да у меня Centos и apache 2.4.6 - не вижу ничего плохого в этой "допотопной" версии учитывая что перед apache свеженький nginx :)

4.30, Аноним (29), 10:48, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это как два презерватива.

5.32, пох. (?), 10:51, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
причем оба дырявых

3.31, пох. (?), 10:51, 17/09/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]

–1 +/–

Или там самосборный апач (что для хостера, для которого это основной сервис, логичненько) в котором нет ненужного mod_proxy и еще более ненужного uwsgi.

А возможно и ненужного http/220 или сколько там сегодня модно.

1.36, Аноним (36), 12:13, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Фух, ну уронить ладно, главное частью ботнета не стать.

2.38, Аноним (29), 12:31, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Все уже обновили свои микротики?

3.43, Аноним (43), 14:31, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Не знаю, у меня VDS

3.44, Аноним (43), 14:33, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
WiFi не использую.

4.51, aaassssa (?), 14:54, 19/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Микроволновка используется в качестве роутера

1.41, Аноним (41), 13:25, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	–1 +/–
Однако Apache (c 1999) - 1519 CVE Nginx (c 2009) - 44 CVE

2.47, Аноним (46), 21:03, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это потому что Апач на дырявой сишечке. Ой и нжинкс на дырявой сишечке. Как так кто из растофанатиков объяснит?

2.48, Аноним (48), 22:42, 17/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Однако Сравнение не совсем корректно - вы можете утверждать, что в случае Apache все, скажем, 1500 CVE не закрыты ДО 2009? Лучше (корректнее) сравнивать за одинаковый период.

3.49, Аноним (49), 01:44, 18/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Удивляет не это, а соотношение найденных CVE в совокупности. Разница в 30 раз, пусть даже поделить на 2 ввиду того, что Nginx в 2 раза моложе.

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: