ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Apache 2.4.41 http server release nga adunay mga kahuyangan nga naayo

Apache 2.4.41 http server release nga adunay mga kahuyangan nga naayo

gipatik pagpagawas sa Apache HTTP server 2.4.41 (release 2.4.40 gilaktawan), nga gipaila 23 pagbag-o ug giwagtang 6 mga kahuyang:

  • CVE-2019-10081 usa ka isyu sa mod_http2 nga mahimong mosangpot sa pagkadunot sa panumduman kon magpadala sa mga hangyo sa pagduso sa sayo kaayong yugto. Kung gigamit ang setting nga "H2PushResource", posible nga ma-overwrite ang memorya sa pool sa pagproseso sa hangyo, apan ang problema limitado sa usa ka pagkahagsa tungod kay ang datos nga gisulat wala gibase sa kasayuran nga nadawat gikan sa kliyente;
  • CVE-2019-9517 - bag-o nga exposure gipahibalo Mga kahuyangan sa DoS sa mga pagpatuman sa HTTP/2.
    Mahimong mahurot sa usa ka tig-atake ang memorya nga magamit sa usa ka proseso ug maghimo usa ka bug-at nga karga sa CPU pinaagi sa pag-abli sa usa ka sliding nga bintana sa HTTP/2 alang sa server nga magpadala mga datos nga wala’y mga pagdili, apan gipadayon nga sirado ang bintana sa TCP, nga gipugngan ang mga datos gikan sa aktuwal nga pagsulat sa socket;

  • CVE-2019-10098 - usa ka problema sa mod_rewrite, nga nagtugot kanimo sa paggamit sa server aron ipasa ang mga hangyo sa ubang mga kapanguhaan (bukas nga redirect). Ang ubang mga setting sa mod_rewrite mahimong moresulta sa user nga mapasa ngadto sa laing link, gi-encode gamit ang newline nga karakter sulod sa parameter nga gigamit sa kasamtangan nga redirect. Aron babagan ang problema sa RegexDefaultOptions, mahimo nimong gamiton ang bandila sa PCRE_DOTALL, nga karon gitakda sa default;
  • CVE-2019-10092 - ang abilidad sa paghimo sa cross-site scripting sa mga panid sa sayup nga gipakita sa mod_proxy. Niini nga mga panid, ang link naglangkob sa URL nga nakuha gikan sa hangyo, diin ang usa ka tig-atake mahimong makasulod sa arbitraryong HTML code pinaagi sa pag-eskapo sa karakter;
  • CVE-2019-10097 β€” stack overflow ug NULL pointer dereference sa mod_remoteip, gipahimuslan pinaagi sa pagmaniobra sa PROXY protocol header. Ang pag-atake mahimo lamang gikan sa kilid sa proxy server nga gigamit sa mga setting, ug dili pinaagi sa usa ka hangyo sa kliyente;
  • CVE-2019-10082 - usa ka kahuyang sa mod_http2 nga nagtugot, sa panahon sa pagtapos sa koneksyon, sa pagsugod sa pagbasa sa mga sulod gikan sa usa ka na-libre na nga lugar sa memorya (read-after-free).

Ang labing inila nga dili-seguridad nga mga pagbag-o mao ang:

  • Ang mod_proxy_balancer nagpauswag sa proteksyon batok sa mga pag-atake sa XSS/XSRF gikan sa kasaligang mga kaedad;
  • Usa ka setting sa SessionExpiryUpdateInterval ang gidugang sa mod_session aron mahibal-an ang agwat sa pag-update sa oras sa pag-expire sa session/cookie;
  • Ang mga panid nga adunay mga sayup gilimpyohan, nga gitumong sa pagwagtang sa pagpakita sa impormasyon gikan sa mga hangyo niini nga mga panid;
  • gikonsiderar sa mod_http2 ang kantidad sa parameter nga "LimitRequestFieldSize", nga kaniadto balido lamang alang sa pagsusi sa mga natad sa header sa HTTP/1.1;
  • Pagsiguro nga ang mod_proxy_hcheck configuration gihimo kung gigamit sa BalancerMember;
  • Gipamub-an ang konsumo sa memorya sa mod_dav kung gigamit ang mando sa PROPFIND sa daghang koleksyon;
  • Sa mod_proxy ug mod_ssl, ang mga problema sa pagtino sa sertipiko ug mga setting sa SSL sulod sa Proxy block nasulbad;
  • Ang mod_proxy nagtugot sa SSLProxyCheckPeer* nga mga setting nga magamit sa tanang proxy modules;
  • Ang mga kapabilidad sa module gipalapdan mod_md, naugmad Atong Encrypt nga proyekto aron ma-automate ang resibo ug pagmentinar sa mga sertipiko gamit ang ACME (Automatic Certificate Management Environment) protocol:
    • Gidugang ang ikaduhang bersyon sa protocol ACMEv2, nga karon mao ang default ug naggamit walay sulod nga mga hangyo sa POST imbes nga GET.
    • Gidugang nga suporta alang sa verification base sa TLS-ALPN-01 extension (RFC 7301, Application-Layer Protocol Negotiation), nga gigamit sa HTTP/2.
    • Ang suporta alang sa 'tls-sni-01' nga pamaagi sa pag-verify gihunong na (tungod sa mga kahuyang).
    • Gidugang nga mga sugo alang sa pag-set up ug pagbungkag sa tseke gamit ang 'dns-01' nga pamaagi.
    • Gidugang nga suporta mga maskara sa mga sertipiko kung ang pag-verify nga nakabase sa DNS gipagana ('dns-01').
    • Gipatuman ang 'md-status' handler ug certificate status page 'https://domain/.httpd/certificate-status'.
    • Gidugang ang "MDCertificateFile" ug "MDCertificateKeyFile" nga mga direktiba alang sa pag-configure sa mga parameter sa domain pinaagi sa static nga mga file (walay suporta sa auto-update).
    • Gidugang ang "MDMessageCmd" nga direktiba aron tawagan ang mga eksternal nga mga mando kung 'nabag-o', 'na-expire' o 'nasayop' nga mga panghitabo mahitabo.
    • Gidugang ang "MDWarnWindow" nga direktiba aron ma-configure ang usa ka mensahe sa pasidaan bahin sa pag-expire sa sertipiko;

Source: opennet.ru

Idugang sa usa ka comment