ProHoster > Blog > internetové zprávy > Vydání http serveru Apache 2.4.46 s opravenými chybami zabezpečení

Vydání http serveru Apache 2.4.46 s opravenými chybami zabezpečení

zveřejněno vydání serveru Apache HTTP 2.4.46 (vydání 2.4.44 a 2.4.45 byla přeskočena), která představila 17 změn a vyloučeno 3 zranitelností:

  • CVE-2020-11984 — přetečení vyrovnávací paměti v modulu mod_proxy_uwsgi, které může vést k úniku informací nebo spuštění kódu na serveru při odesílání speciálně vytvořeného požadavku. Tato chyba zabezpečení je zneužita odesláním velmi dlouhé hlavičky HTTP. Pro ochranu bylo přidáno blokování hlaviček delších než 16K (limit definovaný ve specifikaci protokolu).
  • CVE-2020-11993 — zranitelnost v modulu mod_http2, která umožňuje zhroucení procesu při odesílání požadavku se speciálně navrženou hlavičkou HTTP/2. Problém se projevuje, když je povoleno ladění nebo trasování v modulu mod_http2 a projevuje se poškozením obsahu paměti v důsledku sporu při ukládání informací do protokolu. Problém se neobjeví, když je LogLevel nastavena na „info“.
  • CVE-2020-9490 — zranitelnost v modulu mod_http2, která umožňuje zhroucení procesu při odesílání požadavku přes HTTP/2 se speciálně formátovanou hodnotou hlavičky 'Cache-Digest' (k selhání dochází při pokusu o provedení operace HTTP/2 PUSH na zdroji) . Chcete-li zranitelnost zablokovat, můžete použít nastavení „H2Push off“.
  • CVE-2020-11985 — zranitelnost mod_remoteip, která vám umožňuje podvrhnout IP adresy během proxy serveru pomocí mod_remoteip a mod_rewrite. Problém se objevuje pouze u verzí 2.4.1 až 2.4.23.

Nejpozoruhodnější změny netýkající se zabezpečení jsou:

  • Podpora pro návrh specifikace byla odstraněna z mod_http2 kazuho-h2-cache-digest, jehož propagace byla zastavena.
  • Změněno chování direktivy "LimitRequestFields" v mod_http2, zadáním hodnoty 0 se limit zakáže.
  • mod_http2 zajišťuje zpracování primárních a sekundárních (master/sekundárních) spojení a označení metod v závislosti na použití.
  • Pokud je ze skriptu FCGI/CGI přijat nesprávný obsah hlavičky Last-Modified, bude tato hlavička v době unixové epochy namísto nahrazení odstraněna.
  • Do kódu byla přidána funkce ap_parse_strict_length() pro striktní analýzu velikosti obsahu.
  • ProxyFCGISetEnvIf modulu Mod_proxy_fcgi zajišťuje, že proměnné prostředí budou odstraněny, pokud daný výraz vrátí hodnotu False.
  • Opraven spor a možný pád mod_ssl při použití klientského certifikátu zadaného prostřednictvím nastavení SSLProxyMachineCertificateFile.
  • Opravený únik paměti v mod_ssl.
  • mod_proxy_http2 poskytuje použití parametru proxy "ping» při kontrole funkčnosti nového nebo znovu použitého připojení k backendu.
  • Zastaveno vázání httpd s volbou "-lsystemd", když je povolen mod_systemd.
  • mod_proxy_http2 zajišťuje, že nastavení ProxyTimeout je vzato v úvahu při čekání na příchozí data prostřednictvím připojení k backendu.

Zdroj: opennet.ru

Přidat komentář