ProHoster > Bloc > notícies d'internet > Llançament del servidor http Apache 2.4.41 amb vulnerabilitats solucionades

Llançament del servidor http Apache 2.4.41 amb vulnerabilitats solucionades

publicat llançament del servidor HTTP Apache 2.4.41 (es va saltar la versió 2.4.40), que va introduir 23 canvis i eliminat 6 vulnerabilitats:

  • CVE-2019-10081 és un problema a mod_http2 que pot provocar una corrupció de la memòria quan s'envien sol·licituds push en una fase molt primerenca. Quan s'utilitza la configuració "H2PushResource", és possible sobreescriure la memòria a l'agrupació de processament de sol·licituds, però el problema es limita a un error perquè les dades que s'escriuen no es basen en la informació rebuda del client;
  • CVE-2019-9517 - exposició recent anunciat Vulnerabilitats DoS en implementacions HTTP/2.
    Un atacant pot esgotar la memòria disponible per a un procés i crear una gran càrrega de CPU obrint una finestra HTTP/2 lliscant perquè el servidor enviï dades sense restriccions, però mantenint la finestra TCP tancada, evitant que les dades s'escriguin realment al sòcol;
  • CVE-2019-10098 - un problema a mod_rewrite, que us permet utilitzar el servidor per reenviar peticions a altres recursos (redirecció oberta). Alguns paràmetres de mod_rewrite poden fer que l'usuari sigui reenviat a un altre enllaç, codificat amb un caràcter de nova línia dins d'un paràmetre utilitzat en una redirecció existent. Per bloquejar el problema a RegexDefaultOptions, podeu utilitzar el senyalador PCRE_DOTALL, que ara està configurat per defecte;
  • CVE-2019-10092 - la capacitat de realitzar scripts entre llocs a les pàgines d'error mostrades per mod_proxy. En aquestes pàgines, l'enllaç conté l'URL obtingut a partir de la sol·licitud, en el qual un atacant pot inserir codi HTML arbitrari mitjançant l'escapament de caràcters;
  • CVE-2019-10097 — Desbordament de pila i desreferència del punter NULL a mod_remoteip, explotat mitjançant la manipulació de la capçalera del protocol PROXY. L'atac només es pot dur a terme des del costat del servidor intermediari utilitzat a la configuració, i no mitjançant una sol·licitud del client;
  • CVE-2019-10082 - una vulnerabilitat en mod_http2 que permet, en el moment de la finalització de la connexió, iniciar la lectura de continguts des d'una àrea de memòria ja alliberada (read-after-free).

Els canvis més destacats que no són de seguretat són:

  • mod_proxy_balancer ha millorat la protecció contra atacs XSS/XSRF d'iguals de confiança;
  • S'ha afegit una configuració SessionExpiryUpdateInterval a mod_session per determinar l'interval per actualitzar el temps d'expiració de la sessió/galeta;
  • Es van netejar pàgines amb errors, amb l'objectiu d'eliminar la visualització d'informació de les sol·licituds d'aquestes pàgines;
  • mod_http2 té en compte el valor del paràmetre "LimitRequestFieldSize", que abans només era vàlid per comprovar els camps de capçalera HTTP/1.1;
  • Assegura que la configuració mod_proxy_hcheck es crea quan s'utilitza a BalancerMember;
  • Reducció del consum de memòria a mod_dav quan s'utilitza l'ordre PROPFIND en una col·lecció gran;
  • A mod_proxy i mod_ssl, s'han resolt els problemes per especificar la configuració del certificat i SSL dins del bloc Proxy;
  • mod_proxy permet aplicar la configuració de SSLProxyCheckPeer* a tots els mòduls proxy;
  • S'han ampliat les capacitats del mòdul mod_md, desenvolupat Projecte Let's Encrypt per automatitzar la recepció i manteniment de certificats mitjançant el protocol ACME (Automatic Certificate Management Environment):
    • S'ha afegit una segona versió del protocol ACMEv2, que ara és l'opció predeterminada i usos sol·licituds POST buides en lloc de GET.
    • S'ha afegit suport per a la verificació basat en l'extensió TLS-ALPN-01 (RFC 7301, Negociació del protocol de capa d'aplicació), que s'utilitza a HTTP/2.
    • El suport per al mètode de verificació 'tls-sni-01' s'ha interromput (a causa de vulnerabilitats).
    • S'han afegit ordres per configurar i trencar la comprovació mitjançant el mètode "dns-01".
    • Suport afegit màscares als certificats quan la verificació basada en DNS està habilitada ('dns-01').
    • S'ha implementat el controlador "md-status" i la pàgina d'estat del certificat "https://domain/.httpd/certificate-status".
    • S'han afegit les directives "MDCertificateFile" i "MDCertificateKeyFile" per configurar els paràmetres del domini mitjançant fitxers estàtics (sense suport d'actualització automàtica).
    • S'ha afegit la directiva "MDMessageCmd" per cridar ordres externes quan es produeixen esdeveniments "renovats", "caducants" o "errors".
    • S'ha afegit la directiva "MDWarnWindow" per configurar un missatge d'advertència sobre la caducitat del certificat;

Font: opennet.ru

Afegeix comentari