-
CVE-2019-10081 በ mod_http2 ውስጥ ያለ ጉዳይ ሲሆን ይህም ገና በለጋ ደረጃ የግፋ ጥያቄዎችን ሲልክ ወደ ማህደረ ትውስታ ብልሹነት ሊያመራ ይችላል። የ "H2PushResource" መቼት ሲጠቀሙ, በጥያቄ ማቀናበሪያ ገንዳ ውስጥ ማህደረ ትውስታን እንደገና መፃፍ ይቻላል, ነገር ግን ችግሩ በብልሽት ብቻ የተገደበ ነው ምክንያቱም የሚፃፈው መረጃ ከደንበኛው በተቀበለው መረጃ ላይ የተመሰረተ አይደለም; -
CVE-2019-9517 - የቅርብ ጊዜ መጋለጥአስታወቀ በኤችቲቲፒ/2 አተገባበር ውስጥ የዶኤስ ተጋላጭነቶች።
አጥቂ ለሂደቱ ያለውን ማህደረ ትውስታ በማሟጠጥ እና አገልጋዩ ያለ ገደብ መረጃ እንዲልክ ተንሸራታች HTTP/2 መስኮት በመክፈት ከባድ የሲፒዩ ጭነት ይፈጥራል፣ነገር ግን TCP መስኮቱን በመዝጋት መረጃው ወደ ሶኬት እንዳይፃፍ ይከላከላል። -
CVE-2019-10098 - በ mod_rewrite ላይ ያለ ችግር፣ ይህም አገልጋዩን ተጠቅሞ ጥያቄዎችን ወደ ሌላ ሃብቶች ለማስተላለፍ (ክፍት ማዘዋወር)። አንዳንድ የ mod_rewrite ቅንጅቶች ተጠቃሚው ወደ ሌላ አገናኝ እንዲተላለፍ ሊያደርግ ይችላል፣ ባለ አዲስ መስመር ቁምፊ በነባር ማዘዋወር ውስጥ ጥቅም ላይ በሚውል ግቤት ውስጥ። በ RegexDefaultOptions ውስጥ ያለውን ችግር ለማገድ፣ አሁን በነባሪ የተዘጋጀውን የ PCRE_DOTALL ባንዲራ መጠቀም ትችላለህ። -
CVE-2019-10092 - በ mod_proxy በሚታዩ የስህተት ገጾች ላይ የጣቢያ አቋራጭ ስክሪፕቶችን የማከናወን ችሎታ። በእነዚህ ገፆች ላይ፣ አገናኙ ከጥያቄው የተገኘውን ዩአርኤል ይዟል፣ በዚህ ውስጥ አጥቂ በዘፈቀደ የኤችቲኤምኤል ኮድ በቁምፊ ማምለጥ; -
CVE-2019-10097 - የተደራረበ ትርፍ እና NULL ጠቋሚ መቋረጥ በ mod_remoteip ውስጥ፣ በPROXY ፕሮቶኮል ራስጌ በመጠቀም ጥቅም ላይ ይውላል። ጥቃቱ ሊከናወን የሚችለው በቅንብሮች ውስጥ ጥቅም ላይ ከሚውለው ተኪ አገልጋይ ጎን ብቻ ነው ፣ እና በደንበኛ ጥያቄ አይደለም ። -
CVE-2019-10082 - በ mod_http2 ውስጥ ያለው ተጋላጭነት ፣ግንኙነቱ በተቋረጠበት ጊዜ ፣ከቀድሞው ነፃ ከሆነው የማስታወሻ ቦታ (ተነባቢ-በኋላ-ነፃ) ይዘቶችን ለማንበብ ለመጀመር ያስችላል።
በጣም ታዋቂዎቹ የደህንነት ያልሆኑ ለውጦች የሚከተሉት ናቸው
- mod_proxy_balancer ከ XSS/XSRF ጥቃቶች ከታመኑ እኩዮች ጥበቃ አሻሽሏል፤
- የክፍለ-ጊዜውን/የኩኪ ማብቂያ ጊዜን ለማዘመን የSessionExpiryUpdateInterval ቅንብር ወደ mod_session ተጨምሯል።
- በእነዚህ ገጾች ላይ ከሚቀርቡ ጥያቄዎች የመረጃ ማሳያን ለማስወገድ የታለሙ ስህተቶች ያሉባቸው ገጾች ጸድተዋል ።
- mod_http2 የ"LimitRequestFieldSize" መለኪያ ዋጋን ግምት ውስጥ ያስገባል፣ይህም ከዚህ ቀደም HTTP/1.1 ራስጌ መስኮችን ለመፈተሽ ብቻ የሚሰራ ነው።
- በBalancerMember ውስጥ ጥቅም ላይ ሲውል የ mod_proxy_hcheck ውቅር መፈጠሩን ያረጋግጣል።
- በአንድ ትልቅ ስብስብ ላይ የ PROPFIND ትዕዛዝ ሲጠቀሙ በ mod_dav ውስጥ የማህደረ ትውስታ ፍጆታ መቀነስ;
- በMod_proxy እና mod_ssl ውስጥ፣ በProxy block ውስጥ የእውቅና ማረጋገጫ እና የኤስኤስኤል ቅንብሮችን በመግለጽ ላይ ያሉ ችግሮች ተፈትተዋል።
- mod_proxy SSLProxyCheckPeer* ቅንጅቶችን በሁሉም የተኪ ሞጁሎች ላይ እንዲተገበር ይፈቅዳል።
- የሞዱል ችሎታዎች ተስፋፍተዋል።
ሞድ_ኤምዲ ,የዳበረ የኤሲኤምኢ (አውቶማቲክ ሰርተፍኬት አስተዳደር አካባቢ) ፕሮቶኮልን በመጠቀም የምስክር ወረቀቶችን መቀበል እና ማቆየት ፕሮጄክትን እናመስጥር፡-- የፕሮቶኮሉ ሁለተኛ ስሪት ታክሏል።
ACMEv2 , ይህም አሁን ነባሪ እናይጠቀማል ከGET ይልቅ ባዶ የPOST ጥያቄዎች። - በTLS-ALPN-01 ቅጥያ (RFC 7301፣ የመተግበሪያ-ንብርብር ፕሮቶኮል ድርድር) ላይ በመመስረት ለማረጋገጫ ድጋፍ ታክሏል፣ እሱም በ HTTP/2 ውስጥ ጥቅም ላይ ይውላል።
- የ'tls-sni-01' የማረጋገጫ ዘዴ ድጋፍ ተቋርጧል (በዚህ ምክንያት
ድክመቶች ). - የ'dns-01' ዘዴን በመጠቀም ቼኩን ለማቀናበር እና ለመስበር የታከሉ ትዕዛዞች።
- ድጋፍ ታክሏል።
ጭምብሎች ዲ ኤን ኤስ ላይ የተመሰረተ ማረጋገጫ ሲነቃ በእውቅና ማረጋገጫዎች ውስጥ ('dns-01')። - የተተገበረ 'md-status' ተቆጣጣሪ እና የእውቅና ማረጋገጫ ሁኔታ ገጽ 'https://domain/.httpd/certificate-status'።
- የጎራ መለኪያዎችን በስታቲክ ፋይሎች ለማዋቀር የ"MDCertificateFile" እና "MDCertificateKeyFile" መመሪያዎች ታክለዋል (ያለ ራስ-አዘምን ድጋፍ)።
- "ሲታደስ"፣ 'ጊዜው እያለፈ' ወይም 'የተሳሳቱ' ክስተቶች ሲፈጠሩ የውጭ ትዕዛዞችን ለመጥራት የ"MDMessageCmd" መመሪያ ታክሏል።
- ስለ የእውቅና ማረጋገጫ ጊዜ ማብቂያ የማስጠንቀቂያ መልእክት ለማዋቀር "MDWarnWindow" መመሪያ ታክሏል;
- የፕሮቶኮሉ ሁለተኛ ስሪት ታክሏል።
ምንጭ: opennet.ru