ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > Apache 2.4.41 http አገልጋይ መልቀቅ ከተጋላጭነት ጋር

Apache 2.4.41 http አገልጋይ መልቀቅ ከተጋላጭነት ጋር

የታተመ የ Apache HTTP Server 2.4.41 መልቀቅ (የተለቀቀው 2.4.40 ተዘሏል) 23 ለውጦች እና ተወግዷል 6 ድክመቶች:

  • CVE-2019-10081 በ mod_http2 ውስጥ ያለ ጉዳይ ሲሆን ይህም ገና በለጋ ደረጃ የግፋ ጥያቄዎችን ሲልክ ወደ ማህደረ ትውስታ ብልሹነት ሊያመራ ይችላል። የ "H2PushResource" መቼት ሲጠቀሙ, በጥያቄ ማቀናበሪያ ገንዳ ውስጥ ማህደረ ትውስታን እንደገና መፃፍ ይቻላል, ነገር ግን ችግሩ በብልሽት ብቻ የተገደበ ነው ምክንያቱም የሚፃፈው መረጃ ከደንበኛው በተቀበለው መረጃ ላይ የተመሰረተ አይደለም;
  • CVE-2019-9517 - የቅርብ ጊዜ መጋለጥ አስታወቀ በኤችቲቲፒ/2 አተገባበር ውስጥ የዶኤስ ተጋላጭነቶች።
    አጥቂ ለሂደቱ ያለውን ማህደረ ትውስታ በማሟጠጥ እና አገልጋዩ ያለ ገደብ መረጃ እንዲልክ ተንሸራታች HTTP/2 መስኮት በመክፈት ከባድ የሲፒዩ ጭነት ይፈጥራል፣ነገር ግን TCP መስኮቱን በመዝጋት መረጃው ወደ ሶኬት እንዳይፃፍ ይከላከላል።

  • CVE-2019-10098 - በ mod_rewrite ላይ ያለ ችግር፣ ይህም አገልጋዩን ተጠቅሞ ጥያቄዎችን ወደ ሌላ ሃብቶች ለማስተላለፍ (ክፍት ማዘዋወር)። አንዳንድ የ mod_rewrite ቅንጅቶች ተጠቃሚው ወደ ሌላ አገናኝ እንዲተላለፍ ሊያደርግ ይችላል፣ ባለ አዲስ መስመር ቁምፊ በነባር ማዘዋወር ውስጥ ጥቅም ላይ በሚውል ግቤት ውስጥ። በ RegexDefaultOptions ውስጥ ያለውን ችግር ለማገድ፣ አሁን በነባሪ የተዘጋጀውን የ PCRE_DOTALL ባንዲራ መጠቀም ትችላለህ።
  • CVE-2019-10092 - በ mod_proxy በሚታዩ የስህተት ገጾች ላይ የጣቢያ አቋራጭ ስክሪፕቶችን የማከናወን ችሎታ። በእነዚህ ገፆች ላይ፣ አገናኙ ከጥያቄው የተገኘውን ዩአርኤል ይዟል፣ በዚህ ውስጥ አጥቂ በዘፈቀደ የኤችቲኤምኤል ኮድ በቁምፊ ማምለጥ;
  • CVE-2019-10097 - የተደራረበ ትርፍ እና NULL ጠቋሚ መቋረጥ በ mod_remoteip ውስጥ፣ በPROXY ፕሮቶኮል ራስጌ በመጠቀም ጥቅም ላይ ይውላል። ጥቃቱ ሊከናወን የሚችለው በቅንብሮች ውስጥ ጥቅም ላይ ከሚውለው ተኪ አገልጋይ ጎን ብቻ ነው ፣ እና በደንበኛ ጥያቄ አይደለም ።
  • CVE-2019-10082 - በ mod_http2 ውስጥ ያለው ተጋላጭነት ፣ግንኙነቱ በተቋረጠበት ጊዜ ፣ከቀድሞው ነፃ ከሆነው የማስታወሻ ቦታ (ተነባቢ-በኋላ-ነፃ) ይዘቶችን ለማንበብ ለመጀመር ያስችላል።

በጣም ታዋቂዎቹ የደህንነት ያልሆኑ ለውጦች የሚከተሉት ናቸው

  • mod_proxy_balancer ከ XSS/XSRF ጥቃቶች ከታመኑ እኩዮች ጥበቃ አሻሽሏል፤
  • የክፍለ-ጊዜውን/የኩኪ ማብቂያ ጊዜን ለማዘመን የSessionExpiryUpdateInterval ቅንብር ወደ mod_session ተጨምሯል።
  • በእነዚህ ገጾች ላይ ከሚቀርቡ ጥያቄዎች የመረጃ ማሳያን ለማስወገድ የታለሙ ስህተቶች ያሉባቸው ገጾች ጸድተዋል ።
  • mod_http2 የ"LimitRequestFieldSize" መለኪያ ዋጋን ግምት ውስጥ ያስገባል፣ይህም ከዚህ ቀደም HTTP/1.1 ራስጌ መስኮችን ለመፈተሽ ብቻ የሚሰራ ነው።
  • በBalancerMember ውስጥ ጥቅም ላይ ሲውል የ mod_proxy_hcheck ውቅር መፈጠሩን ያረጋግጣል።
  • በአንድ ትልቅ ስብስብ ላይ የ PROPFIND ትዕዛዝ ሲጠቀሙ በ mod_dav ውስጥ የማህደረ ትውስታ ፍጆታ መቀነስ;
  • በMod_proxy እና mod_ssl ውስጥ፣ በProxy block ውስጥ የእውቅና ማረጋገጫ እና የኤስኤስኤል ቅንብሮችን በመግለጽ ላይ ያሉ ችግሮች ተፈትተዋል።
  • mod_proxy SSLProxyCheckPeer* ቅንጅቶችን በሁሉም የተኪ ሞጁሎች ላይ እንዲተገበር ይፈቅዳል።
  • የሞዱል ችሎታዎች ተስፋፍተዋል። ሞድ_ኤምዲ, የዳበረ የኤሲኤምኢ (አውቶማቲክ ሰርተፍኬት አስተዳደር አካባቢ) ፕሮቶኮልን በመጠቀም የምስክር ወረቀቶችን መቀበል እና ማቆየት ፕሮጄክትን እናመስጥር፡-
    • የፕሮቶኮሉ ሁለተኛ ስሪት ታክሏል። ACMEv2, ይህም አሁን ነባሪ እና ይጠቀማል ከGET ይልቅ ባዶ የPOST ጥያቄዎች።
    • በTLS-ALPN-01 ቅጥያ (RFC 7301፣ የመተግበሪያ-ንብርብር ፕሮቶኮል ድርድር) ላይ በመመስረት ለማረጋገጫ ድጋፍ ታክሏል፣ እሱም በ HTTP/2 ውስጥ ጥቅም ላይ ይውላል።
    • የ'tls-sni-01' የማረጋገጫ ዘዴ ድጋፍ ተቋርጧል (በዚህ ምክንያት ድክመቶች).
    • የ'dns-01' ዘዴን በመጠቀም ቼኩን ለማቀናበር እና ለመስበር የታከሉ ትዕዛዞች።
    • ድጋፍ ታክሏል። ጭምብሎች ዲ ኤን ኤስ ላይ የተመሰረተ ማረጋገጫ ሲነቃ በእውቅና ማረጋገጫዎች ውስጥ ('dns-01')።
    • የተተገበረ 'md-status' ተቆጣጣሪ እና የእውቅና ማረጋገጫ ሁኔታ ገጽ 'https://domain/.httpd/certificate-status'።
    • የጎራ መለኪያዎችን በስታቲክ ፋይሎች ለማዋቀር የ"MDCertificateFile" እና "MDCertificateKeyFile" መመሪያዎች ታክለዋል (ያለ ራስ-አዘምን ድጋፍ)።
    • "ሲታደስ"፣ 'ጊዜው እያለፈ' ወይም 'የተሳሳቱ' ክስተቶች ሲፈጠሩ የውጭ ትዕዛዞችን ለመጥራት የ"MDMessageCmd" መመሪያ ታክሏል።
    • ስለ የእውቅና ማረጋገጫ ጊዜ ማብቂያ የማስጠንቀቂያ መልእክት ለማዋቀር "MDWarnWindow" መመሪያ ታክሏል;

ምንጭ: opennet.ru

አስተያየት ያክሉ