ProHoster > Блог > internet vijesti > Apache 2.4.46 http server izdanje sa popravljenim ranjivostima

Apache 2.4.46 http server izdanje sa popravljenim ranjivostima

objavljeno izdanje Apache HTTP servera 2.4.46 (izdanja 2.4.44 i 2.4.45 su preskočena), koji je uveo 17 promjena i eliminisan 3 ranjivosti:

  • CVE-2020-11984 — prelivanje bafera u modulu mod_proxy_uwsgi, što može dovesti do curenja informacija ili izvršenja koda na serveru prilikom slanja posebno kreiranog zahtjeva. Ranjivost se iskorištava slanjem vrlo dugog HTTP zaglavlja. Za zaštitu je dodano blokiranje zaglavlja dužih od 16K (ograničenje definirano u specifikaciji protokola).
  • CVE-2020-11993 — ranjivost u modulu mod_http2 koja omogućava da se proces sruši prilikom slanja zahtjeva sa posebno dizajniranim HTTP/2 zaglavljem. Problem se manifestira kada je otklanjanje grešaka ili praćenje omogućeno u modulu mod_http2 i odražava se u oštećenju memorijskog sadržaja zbog stanja utrke prilikom spremanja informacija u dnevnik. Problem se ne pojavljuje kada je LogLevel postavljen na “info”.
  • CVE-2020-9490 — ranjivost u modulu mod_http2 koja omogućava da se proces sruši prilikom slanja zahtjeva putem HTTP/2 sa posebno dizajniranom vrijednošću zaglavlja 'Cache-Digest' (do pada nastaje kada pokušate izvršiti HTTP/2 PUSH operaciju na resursu) . Da biste blokirali ranjivost, možete koristiti postavku “H2Push off”.
  • CVE-2020-11985 — ranjivost mod_remoteip, koja vam omogućava da lažirate IP adrese tokom proxyinga koristeći mod_remoteip i mod_rewrite. Problem se pojavljuje samo za izdanja 2.4.1 do 2.4.23.

Najznačajnije promjene koje nisu vezane za sigurnost su:

  • Podrška za nacrt specifikacije je uklonjena iz mod_http2 kazuho-h2-cache-digest, čija je promocija zaustavljena.
  • Promijenjeno je ponašanje direktive "LimitRequestFields" u mod_http2; navođenje vrijednosti 0 sada onemogućava ograničenje.
  • mod_http2 omogućava obradu primarnih i sekundarnih (master/sekundarnih) veza i označavanje metoda u zavisnosti od upotrebe.
  • Ako se iz FCGI/CGI skripte primi netačan sadržaj zaglavlja Last-Modified, ovo zaglavlje se sada uklanja umjesto zamjenjuje u vremenu Unix epohe.
  • Funkcija ap_parse_strict_length() je dodana u kod kako bi se striktno analizirala veličina sadržaja.
  • Mod_proxy_fcgi ProxyFCGISetEnvIf osigurava da se varijable okruženja uklone ako dati izraz vrati False.
  • Popravljeno stanje utrke i mogući pad mod_ssl kada se koristi certifikat klijenta koji je naveden preko postavke SSLProxyMachineCertificateFile.
  • Ispravljeno curenje memorije u mod_ssl.
  • mod_proxy_http2 omogućava korištenje proxy parametra "ping» prilikom provjere funkcionalnosti nove ili ponovno korištene veze s pozadinom.
  • Zaustavljeno povezivanje httpd sa opcijom "-lsystemd" kada je mod_systemd omogućen.
  • mod_proxy_http2 osigurava da se postavka ProxyTimeout uzme u obzir kada se čekaju dolazni podaci putem konekcija na pozadinu.

izvor: opennet.ru

Dodajte komentar