ProHoster > بلوق > أخبار الإنترنت > إصدار خادم Apache 2.4.46 http مع إصلاح نقاط الضعف

إصدار خادم Apache 2.4.46 http مع إصلاح نقاط الضعف

نشرت إصدار خادم Apache HTTP 2.4.46 (تم تخطي الإصدارين 2.4.44 و2.4.45)، والذي قدم 17 تغييرات والقضاء عليها 3 نقطة ضعف:

  • CVE-2020-11984 - تجاوز سعة المخزن المؤقت في الوحدة النمطية mod_proxy_uwsgi، مما قد يؤدي إلى تسرب المعلومات أو تنفيذ التعليمات البرمجية على الخادم عند إرسال طلب معد خصيصًا. يتم استغلال الثغرة الأمنية عن طريق إرسال رأس HTTP طويل جدًا. للحماية، تمت إضافة حظر الرؤوس الأطول من 16 كيلو بايت (الحد المحدد في مواصفات البروتوكول).
  • CVE-2020-11993 - ثغرة أمنية في الوحدة النمطية mod_http2 والتي تسمح للعملية بالتعطل عند إرسال طلب برأس HTTP/2 مصمم خصيصًا. تتجلى المشكلة عند تمكين التصحيح أو التتبع في الوحدة النمطية mod_http2 وتنعكس في تلف محتوى الذاكرة بسبب حالة السباق عند حفظ المعلومات في السجل. لا تظهر المشكلة عند تعيين LogLevel على "معلومات".
  • CVE-2020-9490 - ثغرة أمنية في الوحدة النمطية mod_http2 التي تسمح بتعطل العملية عند إرسال طلب عبر HTTP/2 باستخدام قيمة رأس "Cache-Digest" المصممة خصيصًا (يحدث العطل عند محاولة تنفيذ عملية HTTP/2 PUSH على أحد الموارد) . لحظر الثغرة الأمنية، يمكنك استخدام الإعداد "H2Push off".
  • CVE-2020-11985 — ثغرة أمنية في mod_remoteip، والتي تسمح لك بانتحال عناوين IP أثناء إنشاء الوكيل باستخدام mod_remoteip وmod_rewrite. تظهر المشكلة فقط للإصدارات 2.4.1 إلى 2.4.23.

أبرز التغييرات غير الأمنية هي:

  • تمت إزالة دعم مسودة المواصفات من mod_http2 kazuho-h2-cache-digest، الذي تم إيقاف ترقيته.
  • تم تغيير سلوك التوجيه "LimitRequestFields" في mod_http2؛ يؤدي تحديد قيمة 0 الآن إلى تعطيل الحد.
  • يوفر mod_http2 معالجة الاتصالات الأولية والثانوية (الرئيسية/الثانوية) ووضع علامات على الطرق حسب الاستخدام.
  • إذا تم تلقي محتوى رأس آخر تعديل غير صحيح من برنامج نصي FCGI/CGI، فستتم الآن إزالة هذا الرأس بدلاً من استبداله في عصر Unix.
  • تمت إضافة وظيفة ap_parse_strict_length() إلى الكود لتحليل حجم المحتوى بدقة.
  • يضمن ProxyFCGISetEnvIf الخاص بـ Mod_proxy_fcgi إزالة متغيرات البيئة إذا قام التعبير المحدد بإرجاع False.
  • تم إصلاح حالة السباق واحتمال تعطل mod_ssl عند استخدام شهادة العميل المحددة عبر إعداد SSLProxyMachineCertificateFile.
  • تم إصلاح تسرب الذاكرة في mod_ssl.
  • يوفر mod_proxy_http2 استخدام معلمة الوكيل "بينغ» عند التحقق من وظيفة الاتصال الجديد أو المعاد استخدامه بالواجهة الخلفية.
  • تم إيقاف ربط httpd بالخيار "-lsystemd" عند تمكين mod_systemd.
  • يضمن mod_proxy_http2 أن يتم أخذ إعداد ProxyTimeout في الاعتبار عند انتظار البيانات الواردة من خلال الاتصالات بالواجهة الخلفية.

المصدر: opennet.ru

إضافة تعليق