ProHoster > Blog > internet nuus > Apache 2.4.41 http-bedienervrystelling met kwesbaarhede opgelos

Apache 2.4.41 http-bedienervrystelling met kwesbaarhede opgelos

gepubliseer vrystelling van die Apache HTTP-bediener 2.4.41 (vrystelling 2.4.40 is oorgeslaan), wat bekendgestel het 23 veranderinge en uitgeskakel 6 kwesbaarhede:

  • CVE-2019-10081 is 'n probleem in mod_http2 wat kan lei tot geheue korrupsie wanneer stootversoeke op 'n baie vroeë stadium gestuur word. Wanneer die "H2PushResource"-instelling gebruik word, is dit moontlik om geheue in die versoekverwerkingspoel te oorskryf, maar die probleem is beperk tot 'n ineenstorting omdat die data wat geskryf word nie gebaseer is op inligting wat van die kliënt ontvang is nie;
  • CVE-2019-9517 - onlangse blootstelling aangekondig DoS-kwesbaarhede in HTTP/2-implementerings.
    'n Aanvaller kan die geheue wat beskikbaar is vir 'n proses uitput en 'n swaar SVE-lading skep deur 'n glyende HTTP/2-venster oop te maak vir die bediener om data sonder beperkings te stuur, maar die TCP-venster gesluit te hou, om te verhoed dat data werklik na die sok geskryf word;

  • CVE-2019-10098 - 'n probleem in mod_rewrite, wat jou toelaat om die bediener te gebruik om versoeke na ander hulpbronne aan te stuur (oop herleiding). Sommige mod_rewrite-instellings kan daartoe lei dat die gebruiker na 'n ander skakel aangestuur word, geënkodeer met 'n nuwelynkarakter binne 'n parameter wat in 'n bestaande herleiding gebruik word. Om die probleem in RegexDefaultOptions te blokkeer, kan jy die PCRE_DOTALL vlag gebruik, wat nou by verstek gestel is;
  • CVE-2019-10092 - die vermoë om cross-site scripting uit te voer op foutbladsye wat deur mod_proxy vertoon word. Op hierdie bladsye bevat die skakel die URL wat uit die versoek verkry is, waarin 'n aanvaller arbitrêre HTML-kode kan invoeg deur karakter ontsnap;
  • CVE-2019-10097 - stapel oorloop en NULL wyser dereference in mod_remoteip, uitgebuit deur manipulasie van die PROXY protokol kop. Die aanval kan slegs uitgevoer word vanaf die kant van die instaanbediener wat in die instellings gebruik word, en nie deur 'n kliëntversoek nie;
  • CVE-2019-10082 - 'n kwesbaarheid in mod_http2 wat dit moontlik maak om, op die oomblik van die beëindiging van die verbinding, die lees van inhoud vanaf 'n reeds vrygestelde geheue-area (lees-na-vry) te begin.

Die mees noemenswaardige nie-sekuriteitsveranderinge:

  • mod_proxy_balancer het verbeterde beskerming teen XSS/XSRF-aanvalle van betroubare eweknieë;
  • 'n SessionExpiryUpdateInterval-instelling is by mod_session gevoeg om die interval vir die opdatering van die sessie/koekie-vervaltyd te bepaal;
  • Bladsye met foute is skoongemaak, wat daarop gemik is om die vertoon van inligting uit versoeke op hierdie bladsye uit te skakel;
  • mod_http2 neem die waarde van die "LimitRequestFieldSize" parameter in ag, wat voorheen slegs geldig was vir die kontrolering van HTTP/1.1 header velde;
  • Verseker dat mod_proxy_hcheck-konfigurasie geskep word wanneer dit in BalancerMember gebruik word;
  • Verminderde geheueverbruik in mod_dav wanneer die PROPFIND-opdrag op 'n groot versameling gebruik word;
  • In mod_proxy en mod_ssl is probleme met die spesifiseer van sertifikaat- en SSL-instellings binne die Proxy-blok opgelos;
  • mod_proxy laat SSLProxyCheckPeer*-instellings toe om op alle proxy-modules toegepas te word;
  • Module-vermoëns uitgebrei mod_md, ontwikkel Kom ons Enkripteer projek om die ontvangs en instandhouding van sertifikate te outomatiseer met behulp van die ACME (Automatic Certificate Management Environment) protokol:
    • Bygevoeg tweede weergawe van die protokol ACMEv2, wat nou die verstek en gebruike leë POST-versoeke in plaas van GET.
    • Bygevoeg ondersteuning vir verifikasie gebaseer op die TLS-ALPN-01 uitbreiding (RFC 7301, Application-Layer Protocol Negotiation), wat in HTTP/2 gebruik word.
    • Ondersteuning vir die 'tls-sni-01'-verifikasiemetode is gestaak (as gevolg van kwesbaarhede).
    • Bygevoeg opdragte vir die opstel en breek van die tjek met behulp van die 'dns-01' metode.
    • Bygevoeg ondersteuning maskers in sertifikate wanneer DNS-gebaseerde verifikasie geaktiveer is ('dns-01').
    • Geïmplementeerde 'md-status'-hanteerder en sertifikaatstatusbladsy 'https://domain/.httpd/certificate-status'.
    • Bygevoeg "MDCertificateFile" en "MDCertificateKeyFile" riglyne vir die opstel van domein parameters deur statiese lêers (sonder outomatiese opdatering ondersteuning).
    • Bygevoeg "MDMessageCmd" opdrag om eksterne opdragte te roep wanneer 'hernude', 'verval' of 'fout' gebeure plaasvind.
    • Bygevoeg "MDWarnWindow"-instruksie om 'n waarskuwingsboodskap oor sertifikaatverval op te stel;

Bron: opennet.ru

Voeg 'n opmerking