ProHoster > Blog > internet nyheder > Apache 2.4.46 http-serverudgivelse med sårbarheder rettet

Apache 2.4.46 http-serverudgivelse med sårbarheder rettet

offentliggjort udgivelse af Apache HTTP-serveren 2.4.46 (udgivelser 2.4.44 og 2.4.45 blev sprunget over), som introducerede 17 ændringer og elimineret 3 sårbarheder:

  • CVE-2020-11984 — et bufferoverløb i mod_proxy_uwsgi-modulet, som kan føre til informationslækage eller kodeudførelse på serveren, når der sendes en specielt udformet anmodning. Sårbarheden udnyttes ved at sende en meget lang HTTP-header. For beskyttelse er blokering af overskrifter længere end 16K blevet tilføjet (en grænse defineret i protokolspecifikationen).
  • CVE-2020-11993 — en sårbarhed i mod_http2-modulet, der tillader processen at gå ned, når der sendes en anmodning med en specielt designet HTTP/2-header. Problemet viser sig, når debugging eller sporing er aktiveret i mod_http2-modulet og resulterer i hukommelseskorruption på grund af en race-tilstand, når informationer gemmes i loggen. Problemet vises ikke, når LogLevel er sat til "info".
  • CVE-2020-9490 — en sårbarhed i mod_http2-modulet, der tillader en proces at gå ned, når der sendes en anmodning via HTTP/2 med en specialdesignet 'Cache-Digest'-headerværdi (nedbruddet opstår, når man forsøger at udføre en HTTP/2 PUSH-operation på en ressource) . For at blokere sårbarheden kan du bruge indstillingen "H2Push off".
  • CVE-2020-11985 — mod_remoteip sårbarhed, som giver dig mulighed for at forfalske IP-adresser under proxying ved hjælp af mod_remoteip og mod_rewrite. Problemet opstår kun for udgivelser 2.4.1 til 2.4.23.

De mest bemærkelsesværdige ikke-sikkerhedsmæssige ændringer er:

  • Understøttelse af udkast til specifikation er blevet fjernet fra mod_http2 kazuho-h2-cache-digest, hvis forfremmelse er blevet stoppet.
  • Ændrede adfærden for "LimitRequestFields"-direktivet i mod_http2; angivelse af en værdi på 0 deaktiverer nu grænsen.
  • mod_http2 giver behandling af primære og sekundære (master/sekundære) forbindelser og mærkning af metoder afhængig af brug.
  • Hvis der modtages forkert Last-Modified header-indhold fra et FCGI/CGI-script, fjernes denne header nu i stedet for at blive erstattet i Unix-epoketid.
  • Funktionen ap_parse_strict_length() er blevet tilføjet til koden for strengt at analysere indholdsstørrelsen.
  • Mod_proxy_fcgi's ProxyFCGISetEnvIf sikrer, at miljøvariabler fjernes, hvis det givne udtryk returnerer False.
  • Rettede en race-tilstand og mulig mod_ssl-nedbrud ved brug af et klientcertifikat angivet via SSLProxyMachineCertificateFile-indstillingen.
  • Rettet hukommelseslækage i mod_ssl.
  • mod_proxy_http2 giver brug af proxy-parameteren "ping» når du tjekker funktionaliteten af ​​en ny eller genbrugt forbindelse til backend.
  • Stoppet med at binde httpd med "-lsystemd"-indstillingen, når mod_systemd er aktiveret.
  • mod_proxy_http2 sikrer, at indstillingen ProxyTimeout tages i betragtning, når man venter på indgående data via forbindelser til backend.

Kilde: opennet.ru

Tilføj en kommentar