Vydání http serveru Apache 2.4.46 s opravenými chybami zabezpečení
zveřejněno vydání serveru Apache HTTP 2.4.46 (vydání 2.4.44 a 2.4.45 byla přeskočena), která představila 17 změn a vyloučeno 3 zranitelností:
CVE-2020-11984 — переполнение буфера в модуле mod_proxy_uwsgi, котороя может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков, длиннее 16K (ограничение, определённое в спецификации протокола).
CVE-2020-11993 — zranitelnost v modulu mod_http2, která umožňuje zhroucení procesu při odesílání požadavku se speciálně navrženou hlavičkou HTTP/2. Problém se projevuje, když je povoleno ladění nebo trasování v modulu mod_http2 a projevuje se poškozením obsahu paměti v důsledku sporu při ukládání informací do protokolu. Problém se neobjeví, když je LogLevel nastavena na „info“.
CVE-2020-9490 — уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке через HTTP/2 запроса со специально оформленным значением заголовка ‘Cache-Digest’ (крах возникает при попытке выполнения операции HTTP/2 PUSH для ресурса). Для блокирования уязвимости можно использовать настройку «H2Push off».
CVE-2020-11985 — zranitelnost mod_remoteip, která vám umožňuje podvrhnout IP adresy během proxy serveru pomocí mod_remoteip a mod_rewrite. Problém se objevuje pouze u verzí 2.4.1 až 2.4.23.
Nejpozoruhodnější změny netýkající se zabezpečení jsou:
Podpora pro návrh specifikace byla odstraněna z mod_http2 kazuho-h2-cache-digest, продвижение которой прекращено.
Изменено поведение директивы «LimitRequestFields» в mod_http2, указание значения 0 теперь отключает ограничение.
В mod_http2 обеспечена обработка основных и вторичных (master/secondary) соединений и пометка методов в зависимости от использования.
Pokud je ze skriptu FCGI/CGI přijat nesprávný obsah hlavičky Last-Modified, bude tato hlavička v době unixové epochy namísto nahrazení odstraněna.
В код добавлена функция ap_parse_strict_length() для строгого разбора размера контента.
ProxyFCGISetEnvIf modulu Mod_proxy_fcgi zajišťuje, že proměnné prostředí budou odstraněny, pokud daný výraz vrátí hodnotu False.
Устранено состояние гонки и возможный крах mod_ssl при использовании сертификата клиента, заданного через настройку SSLProxyMachineCertificateFile.
Opravený únik paměti v mod_ssl.
mod_proxy_http2 poskytuje použití parametru proxy "ping» при проверке работоспособности нового или повторно используемого соединения с бэкендом.
Прекращено связывание httpd с опцией «-lsystemd», если активирован mod_systemd.
mod_proxy_http2 zajišťuje, že nastavení ProxyTimeout je vzato v úvahu při čekání na příchozí data prostřednictvím připojení k backendu.