ProHoster > Blog > nutizie internet > Liberazione di u servitore http Apache 2.4.46 cù vulnerabilità fissate

Liberazione di u servitore http Apache 2.4.46 cù vulnerabilità fissate

publicatu liberazione di u servitore HTTP Apache 2.4.46 (le versioni 2.4.44 è 2.4.45 sò state saltate), chì hà introduttu 17 cambiamenti è eliminata 3 vulnerabilità:

  • CVE-2020-11984 - un buffer overflow in u modulu mod_proxy_uwsgi, chì pò purtà à fughe d'infurmazioni o esecuzione di codice in u servitore quandu invià una dumanda apposta. A vulnerabilità hè sfruttata mandendu un capu HTTP assai longu. Per a prutezzione, u bloccu di l'intestazione più longu di 16K hè statu aghjuntu (un limitu definitu in a specificazione di u protocolu).
  • CVE-2020-11993 - una vulnerabilità in u modulu mod_http2 chì permette à u prucessu di crash quandu invià una dumanda cù un header HTTP/2 apposta. U prublema si manifesta quandu u debugging o traccia hè attivatu in u modulu mod_http2 è risultati in corruzzione di memoria per via di una cundizione di razza quandu salvà l'infurmazioni à u log. U prublema ùn appare micca quandu LogLevel hè stabilitu à "info".
  • CVE-2020-9490 - una vulnerabilità in u modulu mod_http2 chì permette à un prucessu di crash quandu invià una dumanda via HTTP/2 cù un valore di intestazione "Cache-Digest" apposta (u crash si verifica quandu si prova à fà una operazione HTTP/2 PUSH nantu à una risorsa) . Per bluccà a vulnerabilità, pudete aduprà u paràmetru "H2Push off".
  • CVE-2020-11985 - vulnerabilità mod_remoteip, chì permette di falsificà l'indirizzi IP durante u proxy cù mod_remoteip è mod_rewrite. U prublema si prisenta solu per i versioni 2.4.1 à 2.4.23.

I cambiamenti più notevuli non-security:

  • U supportu per a specificazione di u prugettu hè statu eliminatu da mod_http2 kazuho-h2-cache-digest, chì a so prumuzione hè stata fermata.
  • Cambiatu u cumpurtamentu di a direttiva "LimitRequestFields" in mod_http2 chì specifica un valore di 0 avà disattiva u limitu.
  • mod_http2 furnisce u prucessu di cunnessione primaria è secundaria (maestru / secundariu) è marcatura di metudi secondu l'usu.
  • Se u cuntenutu di l'intestazione di l'Ultima Modificazione incorrecta hè ricevutu da un script FCGI / CGI, questu capu hè avà sguassatu piuttostu cà rimpiazzatu in u tempu di l'epica Unix.
  • A funzione ap_parse_strict_length() hè stata aghjunta à u codice per analizà strettamente a dimensione di u cuntenutu.
  • Mod_proxy_fcgi's ProxyFCGISetEnvIf assicura chì e variabili di l'ambiente sò eliminati se l'espressione data torna False.
  • Risolta una cundizione di razza è un eventuale crash mod_ssl quandu si usa un certificatu di cliente specificatu via l'impostazione SSLProxyMachineCertificateFile.
  • Riparata a perdita di memoria in mod_ssl.
  • mod_proxy_http2 furnisce l'usu di u paràmetru proxy "ping» quandu verificate a funziunalità di una cunnessione nova o reutilizata à u backend.
  • Stopped binding httpd cù l'opzione "-lsystemd" quandu mod_systemd hè attivatu.
  • mod_proxy_http2 assicura chì a paràmetra di ProxyTimeout hè presa in contu quandu aspittà per i dati entranti attraversu e cunnessione à u backend.

Source: opennet.ru

Add a comment