Apache 2.4.46 http-bedienervrystelling met kwesbaarhede opgelos
gepubliseer vrystelling van die Apache HTTP-bediener 2.4.46 (vrystellings 2.4.44 en 2.4.45 is oorgeslaan), wat bekendgestel het 17 veranderinge en uitgeskakel 3 kwesbaarhede:
CVE-2020-11984 — 'n buffer oorloop in die mod_proxy_uwsgi module, wat kan lei tot inligting lekkasie of kode uitvoering op die bediener wanneer 'n spesiaal vervaardigde versoek gestuur word. Die kwesbaarheid word uitgebuit deur 'n baie lang HTTP-kopskrif te stuur. Vir beskerming is blokkering van opskrifte langer as 16K bygevoeg ('n limiet gedefinieer in die protokolspesifikasie).
CVE-2020-11993 - 'n kwesbaarheid in die mod_http2-module wat die proses toelaat om te crash wanneer 'n versoek met 'n spesiaal ontwerpte HTTP/2-kopskrif gestuur word. Die probleem manifesteer homself wanneer ontfouting of opsporing in die mod_http2-module geaktiveer is en word weerspieël in geheue-inhoudskorrupsie as gevolg van 'n rastoestand wanneer inligting in die log stoor. Die probleem verskyn nie wanneer LogLevel op “info” gestel is nie.
CVE-2020-9490 - 'n kwesbaarheid in die mod_http2-module wat toelaat dat 'n proses ineenstort wanneer 'n versoek via HTTP/2 gestuur word met 'n spesiaal ontwerpte 'Cache-Digest'-kopwaarde (die ongeluk vind plaas wanneer 'n HTTP/2 PUSH-bewerking op 'n hulpbron probeer word) . Om die kwesbaarheid te blokkeer, kan jy die "H2Push off"-instelling gebruik.
CVE-2020-11985 - mod_remoteip kwesbaarheid, wat jou toelaat om IP-adresse te bedrieg tydens proxying met behulp van mod_remoteip en mod_rewrite. Die probleem verskyn net vir vrystellings 2.4.1 tot 2.4.23.
Die mees noemenswaardige nie-sekuriteitsveranderinge:
Ondersteuning vir konsepspesifikasie is verwyder van mod_http2 kazuho-h2-kas-verteer, wie se bevordering gestaak is.
Het die gedrag van die "LimitRequestFields"-direktief in mod_http2 verander deur 'n waarde van 0 te spesifiseer, deaktiveer nou die limiet.
mod_http2 verskaf verwerking van primêre en sekondêre (meester/sekondêre) verbindings en merk van metodes na gelang van gebruik.
As verkeerde Laas-gewysigde kopinhoud vanaf 'n FCGI/CGI-skrip ontvang word, word hierdie kopskrif nou verwyder eerder as om in Unix-tydperk vervang te word.
Die ap_parse_strict_length() funksie is by die kode gevoeg om die inhoudsgrootte streng te ontleed.
Mod_proxy_fcgi se ProxyFCGISetEnvIf verseker dat omgewingsveranderlikes verwyder word as die gegewe uitdrukking False terugkeer.
Het 'n resiestoestand en moontlike mod_ssl-ongeluk reggestel wanneer 'n kliëntsertifikaat gebruik word wat deur die SSLProxyMachineCertificateFile-instelling gespesifiseer is.
Vaste geheue lek in mod_ssl.
mod_proxy_http2 verskaf die gebruik van die proxy parameter "ping» wanneer die funksionaliteit van 'n nuwe of hergebruikte verbinding na die agterkant nagegaan word.
Het opgehou om httpd te bind met die "-lsystemd" opsie wanneer mod_systemd geaktiveer is.
mod_proxy_http2 verseker dat die ProxyTimeout-instelling in ag geneem word wanneer daar gewag word vir inkomende data deur verbindings na die agterkant.