Издаване на http сървър на Apache 2.4.46 с коригирани уязвимости

публикувани издание на HTTP сървъра Apache 2.4.46 (версии 2.4.44 и 2.4.45 бяха пропуснати), който въведе 17 промени и елиминиран 3 уязвимости:

• CVE-2020 11984- — препълване на буфера в модула mod_proxy_uwsgi, което може да доведе до изтичане на информация или изпълнение на код на сървъра при изпращане на специално изработена заявка. Уязвимостта се използва чрез изпращане на много дълъг HTTP хедър. За защита е добавено блокиране на хедъри, по-дълги от 16K (ограничение, определено в спецификацията на протокола).
• CVE-2020 11993- — уязвимост в модула mod_http2, която позволява на процеса да се срине при изпращане на заявка със специално проектиран HTTP/2 хедър. Проблемът се проявява, когато отстраняването на грешки или проследяването е активирано в модула mod_http2 и се отразява в повреда на съдържанието на паметта поради състояние на надпревара при записване на информация в журнала. Проблемът не се появява, когато LogLevel е настроен на „info“.
• CVE-2020 9490- — уязвимост в модула mod_http2, която позволява на процес да се срине при изпращане на заявка чрез HTTP/2 със специално проектирана стойност на заглавката „Cache-Digest“ (сривът възниква, когато се опитвате да изпълните HTTP/2 PUSH операция върху ресурс) . За да блокирате уязвимостта, можете да използвате настройката „H2Push off“.
• CVE-2020 11985- — mod_remoteip уязвимост, която ви позволява да подправяте IP адреси по време на прокси чрез mod_remoteip и mod_rewrite. Проблемът се появява само за версии 2.4.1 до 2.4.23.

Най-забележителните промени, които не са свързани със сигурността:

• Поддръжката за черновата на спецификацията е премахната от mod_http2 kazuho-h2-cache-digest, чиято промоция е спряна.
• Променено е поведението на директивата „LimitRequestFields“ в mod_http2; посочването на стойност 0 сега деактивира ограничението.
• mod_http2 осигурява обработка на първични и вторични (master/secondary) връзки и маркиране на методите в зависимост от употребата.
• Ако от FCGI/CGI скрипт се получи неправилно съдържание на заглавката Last-Modified, тази заглавка вече се премахва, вместо да се заменя във времето на епохата на Unix.
• Функцията ap_parse_strict_length() е добавена към кода за стриктно анализиране на размера на съдържанието.
• ProxyFCGISetEnvIf на Mod_proxy_fcgi гарантира, че променливите на средата се премахват, ако даденият израз върне False.
• Поправено е състояние на състезание и възможен срив на mod_ssl при използване на клиентски сертификат, указан чрез настройката SSLProxyMachineCertificateFile.
• Коригирано изтичане на памет в mod_ssl.
• mod_proxy_http2 осигурява използването на прокси параметъра "пинг» при проверка на функционалността на нова или повторно използвана връзка към бекенда.
• Спря обвързването на httpd с опцията "-lsystemd", когато mod_systemd е активиран.
• mod_proxy_http2 гарантира, че настройката ProxyTimeout се взема предвид при изчакване на входящи данни чрез връзки към бекенда.

Източник: opennet.ru