Издаване на http сървър на Apache 2.4.41 с коригирани уязвимости

публикувани издание на Apache HTTP сървър 2.4.41 (версия 2.4.40 беше пропусната), която въведе 23 промени и елиминиран 6 уязвимости:

• CVE-2019 10081- е проблем в mod_http2, който може да доведе до повреда на паметта при изпращане на push заявки на много ранен етап. Когато използвате настройката "H2PushResource", е възможно да презапишете паметта в пула за обработка на заявки, но проблемът е ограничен до срив, тъй като данните, които се записват, не се основават на информация, получена от клиента;
• CVE-2019 9517- - скорошна експозиция обяви DoS уязвимости в HTTP/2 реализации.
  Нападателят може да изчерпи наличната за даден процес памет и да създаде голямо натоварване на процесора, като отвори плъзгащ се HTTP/2 прозорец, за да може сървърът да изпраща данни без ограничения, но като държи TCP прозореца затворен, предотвратявайки действителното записване на данни в сокета;

• CVE-2019 10098- - проблем в mod_rewrite, който ви позволява да използвате сървъра за препращане на заявки към други ресурси (отворено пренасочване). Някои настройки на mod_rewrite може да доведат до пренасочване на потребителя към друга връзка, кодирана с помощта на знак за нов ред в рамките на параметър, използван в съществуващо пренасочване. За да блокирате проблема в RegexDefaultOptions, можете да използвате флага PCRE_DOTALL, който сега е зададен по подразбиране;
• CVE-2019 10092- - възможност за извършване на междусайтови скриптове на страници с грешки, показвани от mod_proxy. На тези страници връзката съдържа URL адреса, получен от заявката, в който атакуващият може да вмъкне произволен HTML код чрез екраниране на знаци;
• CVE-2019 10097- — препълване на стека и дереференциране на указател NULL в mod_remoteip, използвани чрез манипулиране на заглавката на протокола PROXY. Атаката може да се извърши само от страна на прокси сървъра, използван в настройките, а не чрез клиентска заявка;
• CVE-2019 10082- - уязвимост в mod_http2, която позволява в момента на прекъсване на връзката да започне четене на съдържание от вече освободена област на паметта (read-after-free).

Най-забележителните промени, които не са свързани със сигурността:

• mod_proxy_balancer има подобрена защита срещу XSS/XSRF атаки от доверени партньори;
• Към mod_session е добавена настройка SessionExpiryUpdateInterval за определяне на интервала за актуализиране на времето за изтичане на сесията/бисквитката;
• Страниците с грешки бяха изчистени, с цел елиминиране на показването на информация от заявки на тези страници;
• mod_http2 взема предвид стойността на параметъра „LimitRequestFieldSize“, който преди беше валиден само за проверка на HTTP/1.1 заглавни полета;
• Гарантира, че конфигурацията mod_proxy_hcheck е създадена, когато се използва в BalancerMember;
• Намалена консумация на памет в mod_dav при използване на командата PROPFIND в голяма колекция;
• В mod_proxy и mod_ssl проблемите със задаване на настройките на сертификат и SSL в блока Proxy са разрешени;
• mod_proxy позволява настройките на SSLProxyCheckPeer* да се прилагат към всички прокси модули;
• Възможностите на модула са разширени mod_md, развити Проект Let's Encrypt за автоматизиране на получаването и поддръжката на сертификати с помощта на протокола ACME (Среда за автоматично управление на сертификати):
  • Добавена е втора версия на протокола ACMEv2, което сега е по подразбиране и използва празни POST заявки вместо GET.
  • Добавена е поддръжка за проверка на базата на разширението TLS-ALPN-01 (RFC 7301, Договаряне на протокол на ниво приложение), което се използва в HTTP/2.
  • Поддръжката за метода за проверка 'tl-sni-01' е преустановена (поради уязвимости).
  • Добавени команди за настройка и прекъсване на проверката чрез метода 'dns-01'.
  • Добавена поддръжка маски в сертификати, когато е активирана базирана на DNS проверка („dns-01“).
  • Въведен манипулатор на „md-status“ и страница за състояние на сертификата „https://domain/.httpd/certificate-status“.
  • Добавени са директиви „MDCertificateFile“ и „MDCertificateKeyFile“ за конфигуриране на параметри на домейна чрез статични файлове (без поддръжка за автоматично актуализиране).
  • Добавена е директива „MDMessageCmd“ за извикване на външни команди, когато възникнат събития „подновено“, „изтичащо“ или „грешка“.
  • Добавена е директива "MDWarnWindow" за конфигуриране на предупредително съобщение за изтичане на сертификата;

Източник: opennet.ru