ProHoster > بلوق > أخبار الإنترنت > إصدار خادم Apache 2.4.41 http مع إصلاح نقاط الضعف

إصدار خادم Apache 2.4.41 http مع إصلاح نقاط الضعف

نشرت إصدار Apache HTTP Server 2.4.41 (تم تخطي الإصدار 2.4.40)، والذي قدم 23 تغييرات والقضاء عليها 6 نقاط ضعف:

  • CVE-2019-10081 هي مشكلة في mod_http2 يمكن أن تؤدي إلى تلف الذاكرة عند إرسال طلبات الدفع في مرحلة مبكرة جدًا. عند استخدام إعداد "H2PushResource"، من الممكن الكتابة فوق الذاكرة في تجمع معالجة الطلبات، لكن المشكلة تقتصر على التعطل لأن البيانات التي تتم كتابتها لا تعتمد على المعلومات الواردة من العميل؛
  • CVE-2019-9517 - التعرض الأخير أعلن ثغرات DoS في تطبيقات HTTP/2.
    يمكن للمهاجم استنفاد الذاكرة المتاحة لعملية ما وإنشاء حمل ثقيل على وحدة المعالجة المركزية عن طريق فتح نافذة HTTP/2 منزلقة للخادم لإرسال البيانات دون قيود، مع إبقاء نافذة TCP مغلقة، مما يمنع كتابة البيانات فعليًا إلى المقبس؛

  • CVE-2019-10098 - مشكلة في mod_rewrite، والتي تسمح لك باستخدام الخادم لإعادة توجيه الطلبات إلى موارد أخرى (إعادة توجيه مفتوحة). قد تؤدي بعض إعدادات mod_rewrite إلى إعادة توجيه المستخدم إلى رابط آخر، مشفر باستخدام حرف السطر الجديد داخل المعلمة المستخدمة في عملية إعادة توجيه موجودة. لحظر المشكلة في RegexDefaultOptions، يمكنك استخدام علامة PCRE_DOTALL، والتي تم تعيينها الآن افتراضيًا؛
  • CVE-2019-10092 - القدرة على تنفيذ البرمجة النصية عبر المواقع على صفحات الخطأ التي يعرضها mod_proxy. في هذه الصفحات، يحتوي الرابط على عنوان URL الذي تم الحصول عليه من الطلب، حيث يمكن للمهاجم إدراج تعليمات برمجية HTML عشوائية من خلال الهروب من الأحرف؛
  • CVE-2019-10097 - تجاوز سعة المكدس وعدم مرجعية مؤشر NULL في mod_remoteip، ويتم استغلالهما من خلال معالجة رأس بروتوكول PROXY. لا يمكن تنفيذ الهجوم إلا من جانب الخادم الوكيل المستخدم في الإعدادات، وليس من خلال طلب العميل؛
  • CVE-2019-10082 - ثغرة أمنية في mod_http2 تسمح، في لحظة إنهاء الاتصال، ببدء قراءة المحتويات من منطقة الذاكرة المحررة بالفعل (القراءة بعد الحرة).

أبرز التغييرات غير الأمنية هي:

  • قام mod_proxy_balancer بتحسين الحماية ضد هجمات XSS/XSRF من أقرانهم الموثوق بهم؛
  • تمت إضافة إعداد SessionExpiryUpdateInterval إلى mod_session لتحديد الفاصل الزمني لتحديث وقت انتهاء الجلسة/ملف تعريف الارتباط؛
  • تم تنظيف الصفحات التي تحتوي على أخطاء، وذلك بهدف إزالة عرض المعلومات من الطلبات على هذه الصفحات؛
  • يأخذ mod_http2 في الاعتبار قيمة المعلمة "LimitRequestFieldSize"، والتي كانت صالحة في السابق فقط للتحقق من حقول رأس HTTP/1.1؛
  • يضمن إنشاء تكوين mod_proxy_hcheck عند استخدامه في BalancerMember؛
  • تم تقليل استهلاك الذاكرة في mod_dav عند استخدام أمر PROPFIND في مجموعة كبيرة؛
  • في mod_proxy وmod_ssl، تم حل المشكلات المتعلقة بتحديد الشهادة وإعدادات SSL داخل كتلة الوكيل؛
  • يسمح mod_proxy بتطبيق إعدادات SSLProxyCheckPeer* على كافة وحدات الوكيل؛
  • توسعت قدرات الوحدة mod_md, المتقدمة دعونا نقوم بتشفير المشروع لأتمتة استلام الشهادات وصيانتها باستخدام بروتوكول ACME (بيئة إدارة الشهادات التلقائية):
    • تمت إضافة الإصدار الثاني من البروتوكول ACMEv2، وهو الآن الإعداد الافتراضي و الاستخدامات طلبات POST فارغة بدلاً من GET.
    • تمت إضافة دعم للتحقق بناءً على امتداد TLS-ALPN-01 (RFC 7301، تفاوض بروتوكول طبقة التطبيق)، والذي يُستخدم في HTTP/2.
    • تم إيقاف دعم طريقة التحقق "tls-sni-01" (بسبب نقاط الضعف).
    • تمت إضافة أوامر لإعداد وكسر الشيك باستخدام طريقة "dns-01".
    • دعم إضافي أقنعة في الشهادات عند تمكين التحقق المستند إلى DNS ('dns-01').
    • تم تنفيذ معالج "md-status" وصفحة حالة الشهادة "https://domain/.httpd/certificate-status".
    • تمت إضافة توجيهات "MDCertificateFile" و"MDCertificateKeyFile" لتكوين معلمات المجال من خلال الملفات الثابتة (بدون دعم التحديث التلقائي).
    • تمت إضافة توجيه "MDMessageCmd" لاستدعاء الأوامر الخارجية عند حدوث أحداث "تجديد" أو "انتهاء الصلاحية" أو "خطأ".
    • تمت إضافة توجيه "MDWarnWindow" لتكوين رسالة تحذير حول انتهاء صلاحية الشهادة؛

المصدر: opennet.ru

إضافة تعليق