ProHoster > Blog > nutizie internet > Liberazione di u servitore http Apache 2.4.41 cù vulnerabilità fissate

Liberazione di u servitore http Apache 2.4.41 cù vulnerabilità fissate

publicatu liberazione di u servitore HTTP Apache 2.4.41 (a versione 2.4.40 hè stata saltata), chì hà introduttu 23 cambiamenti è eliminata 6 vulnerabilità:

  • CVE-2019-10081 hè un prublema in mod_http2 chì pò purtà à a corruzzione di a memoria quandu invià e richieste push in una fase assai iniziale. Quandu s'utilice u paràmetru "H2PushResource", hè pussibule di overwrite memoria in u pool di prucessu di dumanda, ma u prublema hè limitatu à un crash perchè i dati chì sò scritti ùn sò micca basati nantu à l'infurmazioni ricevuti da u cliente;
  • CVE-2019-9517 - esposizione recente annunziatu Vulnerabilità DoS in implementazioni HTTP/2.
    Un attaccu pò esaurisce a memoria dispunibule per un prucessu è crea una carica di CPU pesante aprendu una finestra HTTP / 2 sliding per u servitore per mandà dati senza restrizioni, ma mantenendu a finestra TCP chjusa, impediscendu chì e dati sò veramente scritti à u socket;

  • CVE-2019-10098 - un prublema in mod_rewrite, chì permette di utilizà u servitore per rinvià e dumande à altre risorse (redirect apertu). Certi paràmetri di mod_rewrite ponu esse rimbursati l'utilizatori à un altru ligame, codificati cù un caratteru di novu linea in un paràmetru utilizatu in una redirezzione esistente. Per bluccà u prublema in RegexDefaultOptions, pudete aduprà a bandiera PCRE_DOTALL, chì hè avà stabilitu per automaticamente;
  • CVE-2019-10092 - a capacità di realizà scripting cross-site in pagine d'errore visualizate da mod_proxy. In queste pagine, u ligame cuntene l'URL ottenutu da a dumanda, in quale un attaccu pò inserisce un codice HTML arbitrariu attraversu l'escape di caratteri;
  • CVE-2019-10097 - stack overflow è NULL pointer dereference in mod_remoteip, sfruttatu attraversu a manipulazione di l'intestazione di u protocolu PROXY. L'attaccu pò esse realizatu solu da u latu di u servitore proxy utilizatu in i paràmetri, è micca per una dumanda di cliente;
  • CVE-2019-10082 - una vulnerabilità in mod_http2 chì permette, à u mumentu di a terminazione di a cunnessione, di inizià a lettura di cuntenutu da una zona di memoria digià liberata (read-after-free).

I cambiamenti più notevuli non-security:

  • mod_proxy_balancer hà migliuratu a prutezzione contru l'attacchi XSS / XSRF da i pari di fiducia;
  • Un paràmetru di SessionExpiryUpdateInterval hè statu aghjuntu à mod_session per determinà l'intervallu per aghjurnà u tempu di scadenza di sessione / cookie;
  • E pagine cù errori sò state pulite, destinate à eliminà a visualizazione di l'infurmazioni da e dumande nantu à queste pagine;
  • mod_http2 piglia in contu u valore di u paràmetru "LimitRequestFieldSize", chì prima era validu solu per verificà i campi di header HTTP/1.1;
  • Assicura chì a cunfigurazione mod_proxy_hcheck hè creata quandu s'utilice in BalancerMember;
  • Cunsumu di memoria ridutta in mod_dav quandu si usa u cumandimu PROPFIND nantu à una grande cullizzioni;
  • In mod_proxy è mod_ssl, i prublemi cù a specificazione di certificati è paràmetri SSL in u bloccu Proxy sò stati risolti;
  • mod_proxy permette à i paràmetri di SSLProxyCheckPeer * esse applicati à tutti i moduli proxy;
  • E capacità di u modulu sò sviluppate mod_md, sviluppatu Criptemu u prughjettu per automatizà a ricezione è u mantenimentu di i certificati utilizendu u protocolu ACME (Automatic Certificate Management Environment) :
    • Aggiunta a seconda versione di u protocolu ACMEv2, chì hè avà u predefinitu è usi richieste POST vacanti invece di GET.
    • Aghjunghje un supportu per a verificazione basatu annantu à l'estensione TLS-ALPN-01 (RFC 7301, Negoziazione di Protocollo Applicazioni-Layer), chì hè utilizatu in HTTP/2.
    • U supportu per u metudu di verificazione "tls-sni-01" hè statu interrottu (per via di vulnerabilità).
    • Aghjunghjite cumandamenti per stallà è rompe u cuntrollu cù u metudu "dns-01".
    • Supportu aghjuntu maschere in i certificati quandu a verificazione basata in DNS hè attivata ('dns-01').
    • Implementatu u gestore "md-status" è a pagina di statutu di certificatu "https://domain/.httpd/certificate-status".
    • Aghjunghjite direttive "MDCertificateFile" è "MDCertificateKeyFile" per a cunfigurazione di i paràmetri di u duminiu attraversu i fugliali statici (senza supportu di l'aghjurnamentu automaticu).
    • Aggiunta a direttiva "MDMessageCmd" per chjamà cumandamenti esterni quandu si verificanu avvenimenti "rinnuvati", "scaduti" o "errori".
    • Aggiunta a direttiva "MDWarnWindow" per cunfigurà un messagiu d'avvertimentu nantu à a scadenza di u certificatu;

Source: opennet.ru

Add a comment