Защита Apache от эксплойта mod_proxy SSRF CVE-2021-40438

Jeff

26.05.2023, 01:07

Мне поручено защитить Apache от CVE-2021-40438, чтобы добиться соответствия PCI. На сервере работают Apache 2.4.52 и PHP-FPM 7.4.26, каждый из которых работает в своем собственном док-контейнере. Из того, что я прочитал, версия Apache, которую я использую, была исправлена для решения этой проблемы, однако я думаю, что повторно представляю проблему с моей необходимостью настроить Apache в качестве прокси для php-fpm.

Соответствующие параметры конфигурации, которые я использую в блоке VirtualHost, приведены ниже:

Прокси-запросы выключены
ProxyPassMatch ^/(.*\.php(/.*)?)$ fcgi://php:9000/var/www/html/content/$1

Совет, который я нашел в Интернете, заключается в том, чтобы просто отключить proxy_module, но он мне нужен для направления запросов на php-fpm. Как я могу правильно защитить свой сервер, позволяя Apache выступать в качестве прокси для php-fpm. Извините, если это тривиально, я неопытен.

0 + 0

мод-прокси

php-fpm

апач-2.4

Admin

Этот вопрос на других языках:

EN: Securing Apache against mod_proxy SSRF exploit CVE-2021-40438

TH: การรักษาความปลอดภัย Apache จาก mod_proxy SSRF ใช้ประโยชน์จาก CVE-2021-40438

RO: Securizarea Apache împotriva exploitului SSRF mod_proxy CVE-2021-40438

RU: Защита Apache от эксплойта mod_proxy SSRF CVE-2021-40438

VI: Bảo vệ Apache khỏi khai thác mod_proxy SSRF CVE-2021-40438

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.