ProHoster > Blog > internetové zprávy > Vydání http serveru Apache 2.4.46 s opravenými chybami zabezpečení

Vydání http serveru Apache 2.4.46 s opravenými chybami zabezpečení

zveřejněno vydání serveru Apache HTTP 2.4.46 (vydání 2.4.44 a 2.4.45 byla přeskočena), která představila 17 změn a vyloučeno 3 zranitelností:

  • CVE-2020-11984 — переполнение буфера в модуле mod_proxy_uwsgi, котороя может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков, длиннее 16K (ограничение, определённое в спецификации протокола).
  • CVE-2020-11993 — zranitelnost v modulu mod_http2, která umožňuje zhroucení procesu při odesílání požadavku se speciálně navrženou hlavičkou HTTP/2. Problém se projevuje, když je povoleno ladění nebo trasování v modulu mod_http2 a projevuje se poškozením obsahu paměti v důsledku sporu při ukládání informací do protokolu. Problém se neobjeví, když je LogLevel nastavena na „info“.
  • CVE-2020-9490 — уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке через HTTP/2 запроса со специально оформленным значением заголовка ‘Cache-Digest’ (крах возникает при попытке выполнения операции HTTP/2 PUSH для ресурса). Для блокирования уязвимости можно использовать настройку «H2Push off».
  • CVE-2020-11985 — zranitelnost mod_remoteip, která vám umožňuje podvrhnout IP adresy během proxy serveru pomocí mod_remoteip a mod_rewrite. Problém se objevuje pouze u verzí 2.4.1 až 2.4.23.

Nejpozoruhodnější změny netýkající se zabezpečení jsou:

  • Podpora pro návrh specifikace byla odstraněna z mod_http2 kazuho-h2-cache-digest, продвижение которой прекращено.
  • Изменено поведение директивы «LimitRequestFields» в mod_http2, указание значения 0 теперь отключает ограничение.
  • В mod_http2 обеспечена обработка основных и вторичных (master/secondary) соединений и пометка методов в зависимости от использования.
  • Pokud je ze skriptu FCGI/CGI přijat nesprávný obsah hlavičky Last-Modified, bude tato hlavička v době unixové epochy namísto nahrazení odstraněna.
  • В код добавлена функция ap_parse_strict_length() для строгого разбора размера контента.
  • ProxyFCGISetEnvIf modulu Mod_proxy_fcgi zajišťuje, že proměnné prostředí budou odstraněny, pokud daný výraz vrátí hodnotu False.
  • Устранено состояние гонки и возможный крах mod_ssl при использовании сертификата клиента, заданного через настройку SSLProxyMachineCertificateFile.
  • Opravený únik paměti v mod_ssl.
  • mod_proxy_http2 poskytuje použití parametru proxy "ping» при проверке работоспособности нового или повторно используемого соединения с бэкендом.
  • Прекращено связывание httpd с опцией «-lsystemd», если активирован mod_systemd.
  • mod_proxy_http2 zajišťuje, že nastavení ProxyTimeout je vzato v úvahu při čekání na příchozí data prostřednictvím připojení k backendu.

Zdroj: opennet.ru

Přidat komentář