Veröffentlichung des HTTP-Servers Apache 2.4.41 mit Sicherheitsupdates

Veröffentlicht Die Veröffentlichung des HTTP-Servers Apache 2.4.41 (die Version 2.4.40 wurde übersprungen) bringt 23 Änderungen und behebt 6 Sicherheitsanfälligkeiten:

  • CVE-2019-10081 — ein Problem in mod_http2, das zu Speicherbeschädigung führen kann, wenn Push-Anfragen in einem sehr frühen Stadium gesendet werden. Bei Verwendung der Einstellung 'H2PushResource' kann der Speicherbereich im Verarbeitungspool überschrieben werden, wobei das Problem auf einen Absturz beschränkt ist, da die geschriebenen Daten nicht auf Informationen basieren, die vom Client erhalten wurden;
  • CVE-2019-9517 — eine neue der angekündigten DoS-Sicherheitsanfälligkeit in HTTP/2-Implementierungen.
    Ein Angreifer kann den verfügbaren Prozessspeicher erschöpfen und die CPU stark belasten, indem er ein gleitendes HTTP/2-Fenster öffnet, das dem Server ermöglicht, Daten ohne Einschränkungen zu senden, während das TCP-Fenster geschlossen bleibt, wodurch das tatsächliche Schreiben der Daten in den Socket verhindert wird;
  • CVE-2019-10098 — ein Problem mit mod_rewrite, das es ermöglicht, den Server für das Weiterleiten von Anfragen an andere Ressourcen zu nutzen (open redirect). Bestimmte Einstellungen von mod_rewrite können dazu führen, dass der Benutzer auf einen anderen Link umgeleitet wird, der mit einem Zeilenumbruchzeichen innerhalb des Parameters kodiert ist, der für eine bestehende Umleitung verwendet wird. Um dieses Problem zu lösen, kann in RegexDefaultOptions das Flag PCRE_DOTALL verwendet werden, welches nun standardmäßig gesetzt ist;
  • CVE-2019-10092 — die Möglichkeit zur Durchführung von Cross-Site-Scripting (XSS) auf Fehlerseiten, die von mod_proxy ausgegeben werden. Auf diesen Seiten wird der URL, der aus der Anfrage erhalten wurde, in den Link eingefügt, wobei der Angreifer durch Escaping von Zeichen beliebigen HTML-Code einschleusen kann;
  • CVE-2019-10097 — ein Stack-Überlauf und Dereferenzierung eines NULL-Zeigers in mod_remoteip, ausgenutzt durch Manipulationen mit dem PROXY-Protokoll-Header. Ein Angriff kann nur von der in den Proxy-Servereinstellungen verwendeten Seite ausgeführt werden und nicht über die Anfrage des Clients;
  • CVE-2019-10082 — eine Schwachstelle in mod_http2, die es ermöglicht, beim Schließen der Verbindung den Inhalt aus bereits freigegebenem Speicher zu lesen (read-after-free).

Die bemerkenswertesten Änderungen, die nicht sicherheitsrelevant sind:

  • In mod_proxy_balancer wurde der Schutz vor XSS/XSRF-Angriffen aus vertrauenswürdigen Knoten verbessert;
  • In mod_session wurde die Einstellung SessionExpiryUpdateInterval hinzugefügt, um das Intervall für die Aktualisierung der Lebensdauer von Sitzungen/Cookies zu bestimmen;
  • Es wurde eine Bereinigung von Fehlerseiten durchgeführt, um zu verhindern, dass auf diesen Seiten Informationen aus Anfragen ausgegeben werden;
  • In mod_http2 wurde die Berücksichtigung des Parameters „LimitRequestFieldSize“ sichergestellt, der zuvor nur zur Überprüfung der HTTP/1.1-Headerfelder galt;
  • Die Erstellung der Konfiguration mod_proxy_hcheck bei der Verwendung in BalancerMember wurde ermöglicht;
  • Der Speicherverbrauch in mod_dav wurde bei der Verwendung des Befehls PROPFIND über eine große Sammlung reduziert;
  • In mod_proxy und mod_ssl wurden Probleme mit der Angabe von Zertifikat- und SSL-Einstellungen innerhalb des Proxy-Blocks behoben;
  • In mod_proxy wurde die Anwendung von SSLProxyCheckPeer*-Einstellungen für alle Proxy-Module ermöglicht;
  • Die Möglichkeiten des Moduls wurden erweitert. mod_md, der von das Projekt Let’s Encrypt zur Automatisierung der Beschaffung und Verwaltung von Zertifikaten mit dem ACME-Protokoll (Automatic Certificate Management Environment):
    • Die zweite Version des Protokolls wurde hinzugefügt, ACMEv2, die jetzt standardmäßig verwendet wird und nutzt leere POST-Anfragen anstelle von GET.
    • Unterstützung für die TLS-ALPN-01-Prüfung (RFC 7301, Application-Layer Protocol Negotiation) hinzugefügt, die in HTTP/2 verwendet wird.
    • Unterstützung für die Überprüfungsmethode „tls-sni-01“ eingestellt (wegen Sicherheitsanfälligkeiten).
    • Befehle zum Einrichten und Beenden der Überprüfungsmethode „dns-01“ hinzugefügt.
    • Unterstützung für Masken in Zertifikaten bei aktivierter DNS-basierten Überprüfung („dns-01“).
    • Ein „md-status“-Handler und eine Seite mit dem Zertifikatstatus „https://domain/.httpd/certificate-status“ implementiert.
    • Die Direktiven „MDCertificateFile“ und „MDCertificateKeyFile“ hinzugefügt, um die Domainparameter über statische Dateien einzurichten (ohne Unterstützung für automatische Updates).
    • Die Direktive „MDMessageCmd“ hinzugefügt, um externe Befehle bei den Ereignissen „renewed“, „expiring“ oder „errored“ auszuführen.
    • Die Direktive „MDWarnWindow“ hinzugefügt, um eine Warnmeldung über das Ablaufdatum des Zertifikats einzustellen;

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster