Π Π΅Π»ΠΈΠ· http-сСрвСра Apache 2.4.46 с устранСниСм уязвимостСй

ΠžΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½ Ρ€Π΅Π»ΠΈΠ· HTTP-сСрвСра Apache 2.4.46 (выпуски 2.4.44 ΠΈ 2.4.45 Π±Ρ‹Π»ΠΈ ΠΏΡ€ΠΎΠΏΡƒΡ‰Π΅Π½Ρ‹), Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ прСдставлСно 17 ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ ΠΈ устранСно 3 уязвимости:

  • CVE-2020-11984 — ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π±ΡƒΡ„Π΅Ρ€Π° Π² ΠΌΠΎΠ΄ΡƒΠ»Π΅ mod_proxy_uwsgi, котороя ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ ΡƒΡ‚Π΅Ρ‡ΠΊΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈΠ»ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠΈ ΠΊΠΎΠ΄Π° Π½Π° сСрвСрС ΠΏΡ€ΠΈ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠ΅ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΎΡ„ΠΎΡ€ΠΌΠ»Π΅Π½Π½ΠΎΠ³ΠΎ запроса. Эксплуатация уязвимости осущСствляСтся Ρ‡Π΅Ρ€Π΅Π· ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ ΠΎΡ‡Π΅Π½ΡŒ Π΄Π»ΠΈΠ½Π½ΠΎΠ³ΠΎ HTTP-Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠ°. Для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠΎΠ², Π΄Π»ΠΈΠ½Π½Π΅Π΅ 16K (ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅, ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½ΠΎΠ΅ Π² спСцификации ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°).
  • CVE-2020-11993 — ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² ΠΌΠΎΠ΄ΡƒΠ»Π΅ mod_http2, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ Π²Ρ‹Π·Π²Π°Ρ‚ΡŒ ΠΊΡ€Π°Ρ… процСсса ΠΏΡ€ΠΈ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠ΅ запроса со ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΎΡ„ΠΎΡ€ΠΌΠ»Π΅Π½Π½Ρ‹ΠΌ Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠΎΠΌ HTTP/2. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся ΠΏΡ€ΠΈ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΈ ΠΎΡ‚Π»Π°Π΄ΠΊΠΈ ΠΈΠ»ΠΈ трассировки Π² ΠΌΠΎΠ΄ΡƒΠ»Π΅ mod_http2 ΠΈ выраТаСтся Π² ΠΏΠΎΠ²Ρ€Π΅ΠΆΠ΄Π΅Π½ΠΈΠΈ содСрТимого памяти ΠΈΠ·-Π·Π° состояния Π³ΠΎΠ½ΠΊΠΈ ΠΏΡ€ΠΈ сохранСнии ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Π² Π»ΠΎΠ³Π΅. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π½Π΅ проявляСтся ΠΏΡ€ΠΈ выставлСнии LogLevel Π² Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ «info».
  • CVE-2020-9490 — ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² ΠΌΠΎΠ΄ΡƒΠ»Π΅ mod_http2, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ Π²Ρ‹Π·Π²Π°Ρ‚ΡŒ ΠΊΡ€Π°Ρ… процСсса ΠΏΡ€ΠΈ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠ΅ Ρ‡Π΅Ρ€Π΅Π· HTTP/2 запроса со ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΎΡ„ΠΎΡ€ΠΌΠ»Π΅Π½Π½Ρ‹ΠΌ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ΠΌ Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠ° ‘Cache-Digest’ (ΠΊΡ€Π°Ρ… Π²ΠΎΠ·Π½ΠΈΠΊΠ°Π΅Ρ‚ ΠΏΡ€ΠΈ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ΅ выполнСния ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΈ HTTP/2 PUSH для рСсурса). Для блокирования уязвимости ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ настройку «H2Push off».
  • CVE-2020-11985 — ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ mod_remoteip, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ спуфинг IP-адрСсов ΠΏΡ€ΠΈ проксировании, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ mod_remoteip ΠΈ mod_rewrite. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для выпусков с 2.4.1 ΠΏΠΎ 2.4.23.

НаиболСС Π·Π°ΠΌΠ΅Ρ‚Π½Ρ‹Π΅ измСнСния, Π½Π΅ связанныС с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ:

  • Из mod_http2 ΡƒΠ΄Π°Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Ρ‡Π΅Ρ€Π½ΠΎΠ²ΠΎΠΉ спСцификации kazuho-h2-cache-digest, ΠΏΡ€ΠΎΠ΄Π²ΠΈΠΆΠ΅Π½ΠΈΠ΅ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΏΡ€Π΅ΠΊΡ€Π°Ρ‰Π΅Π½ΠΎ.
  • ИзмСнСно ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΈΠ²Ρ‹ «LimitRequestFields» Π² mod_http2, ΡƒΠΊΠ°Π·Π°Π½ΠΈΠ΅ значСния 0 Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅.
  • Π’ mod_http2 обСспСчСна ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° основных ΠΈ Π²Ρ‚ΠΎΡ€ΠΈΡ‡Π½Ρ‹Ρ… (master/secondary) соСдинСний ΠΈ ΠΏΠΎΠΌΠ΅Ρ‚ΠΊΠ° ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² Π² зависимости ΠΎΡ‚ использования.
  • Π’ случаС получСния Π½Π΅ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠ³ΠΎ содСрТимого Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠ° Last-Modified ΠΎΡ‚ скрипта FCGI/CGI, Π΄Π°Π½Π½Ρ‹ΠΉ Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΎΠΊ Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ удаляСтся, Π° Π½Π΅ замСняСтся Π·Π° ΡΠΏΠΎΡ…Π°Π»ΡŒΠ½ΠΎΠ΅ врСмя (Unix epoch).
  • Π’ ΠΊΠΎΠ΄ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° функция ap_parse_strict_length() для строгого Ρ€Π°Π·Π±ΠΎΡ€Π° Ρ€Π°Π·ΠΌΠ΅Ρ€Π° ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚Π°.
  • Π’ mod_proxy_fcgi Π² ProxyFCGISetEnvIf обСспСчСно ΡƒΠ΄Π°Π»Π΅Π½ΠΈΠ΅ ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Ρ… окруТСния, Ссли Π·Π°Π΄Π°Π½Π½ΠΎΠ΅ Π²Ρ‹Ρ€Π°ΠΆΠ΅Π½ΠΈΠ΅ Π²ΠΎΠ·Π²Ρ€Π°Ρ‰Π°Π΅Ρ‚ False.
  • УстранСно состояниС Π³ΠΎΠ½ΠΊΠΈ ΠΈ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹ΠΉ ΠΊΡ€Π°Ρ… mod_ssl ΠΏΡ€ΠΈ использовании сСртификата ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°, Π·Π°Π΄Π°Π½Π½ΠΎΠ³ΠΎ Ρ‡Π΅Ρ€Π΅Π· настройку SSLProxyMachineCertificateFile.
  • УстранСна ΡƒΡ‚Π΅Ρ‡ΠΊΠ° памяти Π² mod_ssl.
  • Π’ mod_proxy_http2 обСспСчСно использованиС ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° прокси «ping» ΠΏΡ€ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ΅ работоспособности Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΈΠ»ΠΈ ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ соСдинСния с бэкСндом.
  • ΠŸΡ€Π΅ΠΊΡ€Π°Ρ‰Π΅Π½ΠΎ связываниС httpd с ΠΎΠΏΡ†ΠΈΠ΅ΠΉ «-lsystemd», Ссли Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΠΎΠ²Π°Π½ mod_systemd.
  • Π’ mod_proxy_http2 обСспСчСн ΡƒΡ‡Ρ‘Ρ‚ настройки ProxyTimeout ΠΏΡ€ΠΈ ΠΎΠΆΠΈΠ΄Π°Π½ΠΈΠΈ входящих Π΄Π°Π½Π½Ρ‹Ρ… Ρ‡Π΅Ρ€Π΅Π· соСдинСния с бэкСндом.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ