ProHoster > Blog > internet nuus > Apache 2.4.46 http-bedienervrystelling met kwesbaarhede opgelos

Apache 2.4.46 http-bedienervrystelling met kwesbaarhede opgelos

gepubliseer vrystelling van die Apache HTTP-bediener 2.4.46 (vrystellings 2.4.44 en 2.4.45 is oorgeslaan), wat bekendgestel het 17 veranderinge en uitgeskakel 3 kwesbaarhede:

  • CVE-2020-11984 — 'n buffer oorloop in die mod_proxy_uwsgi module, wat kan lei tot inligting lekkasie of kode uitvoering op die bediener wanneer 'n spesiaal vervaardigde versoek gestuur word. Die kwesbaarheid word uitgebuit deur 'n baie lang HTTP-kopskrif te stuur. Vir beskerming is blokkering van opskrifte langer as 16K bygevoeg ('n limiet gedefinieer in die protokolspesifikasie).
  • CVE-2020-11993 - 'n kwesbaarheid in die mod_http2-module wat die proses toelaat om te crash wanneer 'n versoek met 'n spesiaal ontwerpte HTTP/2-kopskrif gestuur word. Die probleem manifesteer homself wanneer ontfouting of opsporing in die mod_http2-module geaktiveer is en word weerspieël in geheue-inhoudskorrupsie as gevolg van 'n rastoestand wanneer inligting in die log stoor. Die probleem verskyn nie wanneer LogLevel op “info” gestel is nie.
  • CVE-2020-9490 - 'n kwesbaarheid in die mod_http2-module wat toelaat dat 'n proses ineenstort wanneer 'n versoek via HTTP/2 gestuur word met 'n spesiaal ontwerpte 'Cache-Digest'-kopwaarde (die ongeluk vind plaas wanneer 'n HTTP/2 PUSH-bewerking op 'n hulpbron probeer word) . Om die kwesbaarheid te blokkeer, kan jy die "H2Push off"-instelling gebruik.
  • CVE-2020-11985 - mod_remoteip kwesbaarheid, wat jou toelaat om IP-adresse te bedrieg tydens proxying met behulp van mod_remoteip en mod_rewrite. Die probleem verskyn net vir vrystellings 2.4.1 tot 2.4.23.

Die mees noemenswaardige nie-sekuriteitsveranderinge:

  • Ondersteuning vir konsepspesifikasie is verwyder van mod_http2 kazuho-h2-kas-verteer, wie se bevordering gestaak is.
  • Het die gedrag van die "LimitRequestFields"-direktief in mod_http2 verander deur 'n waarde van 0 te spesifiseer, deaktiveer nou die limiet.
  • mod_http2 verskaf verwerking van primêre en sekondêre (meester/sekondêre) verbindings en merk van metodes na gelang van gebruik.
  • As verkeerde Laas-gewysigde kopinhoud vanaf 'n FCGI/CGI-skrip ontvang word, word hierdie kopskrif nou verwyder eerder as om in Unix-tydperk vervang te word.
  • Die ap_parse_strict_length() funksie is by die kode gevoeg om die inhoudsgrootte streng te ontleed.
  • Mod_proxy_fcgi se ProxyFCGISetEnvIf verseker dat omgewingsveranderlikes verwyder word as die gegewe uitdrukking False terugkeer.
  • Het 'n resiestoestand en moontlike mod_ssl-ongeluk reggestel wanneer 'n kliëntsertifikaat gebruik word wat deur die SSLProxyMachineCertificateFile-instelling gespesifiseer is.
  • Vaste geheue lek in mod_ssl.
  • mod_proxy_http2 verskaf die gebruik van die proxy parameter "ping» wanneer die funksionaliteit van 'n nuwe of hergebruikte verbinding na die agterkant nagegaan word.
  • Het opgehou om httpd te bind met die "-lsystemd" opsie wanneer mod_systemd geaktiveer is.
  • mod_proxy_http2 verseker dat die ProxyTimeout-instelling in ag geneem word wanneer daar gewag word vir inkomende data deur verbindings na die agterkant.

Bron: opennet.ru

Voeg 'n opmerking