ProHoster > Blog > Internetnachrichten > Apache 2.4.41 HTTP-Server-Release mit behobenen Schwachstellen

Apache 2.4.41 HTTP-Server-Release mit behobenen Schwachstellen

Veröffentlicht Veröffentlichung des Apache HTTP-Servers 2.4.41 (Version 2.4.40 wurde übersprungen), die eingeführt wurde 23 Änderungen und beseitigt 6 Schwachstellen:

  • CVE-2019-10081 ist ein Problem in mod_http2, das beim Senden von Push-Anfragen in einem sehr frühen Stadium zu Speicherbeschädigungen führen kann. Bei Verwendung der Einstellung „H2PushResource“ ist es möglich, Speicher im Anforderungsverarbeitungspool zu überschreiben, das Problem beschränkt sich jedoch auf einen Absturz, da die geschriebenen Daten nicht auf vom Client empfangenen Informationen basieren;
  • CVE-2019-9517 - jüngste Exposition angekündigt DoS-Schwachstellen in HTTP/2-Implementierungen.
    Ein Angreifer kann den für einen Prozess verfügbaren Speicher erschöpfen und eine hohe CPU-Last verursachen, indem er ein verschiebbares HTTP/2-Fenster öffnet, damit der Server Daten ohne Einschränkungen senden kann, das TCP-Fenster jedoch geschlossen hält und so verhindert, dass Daten tatsächlich in den Socket geschrieben werden;

  • CVE-2019-10098 - ein Problem in mod_rewrite, das es Ihnen ermöglicht, den Server zum Weiterleiten von Anfragen an andere Ressourcen zu verwenden (offene Weiterleitung). Einige mod_rewrite-Einstellungen können dazu führen, dass der Benutzer zu einem anderen Link weitergeleitet wird, der mit einem Zeilenumbruchzeichen innerhalb eines Parameters codiert wird, der in einer vorhandenen Umleitung verwendet wird. Um das Problem in RegexDefaultOptions zu blockieren, können Sie das Flag PCRE_DOTALL verwenden, das jetzt standardmäßig gesetzt ist;
  • CVE-2019-10092 – die Möglichkeit, Cross-Site-Scripting auf Fehlerseiten durchzuführen, die von mod_proxy angezeigt werden. Auf diesen Seiten enthält der Link die aus der Anfrage erhaltene URL, in die ein Angreifer durch Zeichen-Escape-Zeichen beliebigen HTML-Code einfügen kann;
  • CVE-2019-10097 – Stapelüberlauf und NULL-Zeiger-Dereferenzierung in mod_remoteip, ausgenutzt durch Manipulation des PROXY-Protokoll-Headers. Der Angriff kann nur von Seiten des in den Einstellungen verwendeten Proxyservers und nicht über eine Client-Anfrage erfolgen;
  • CVE-2019-10082 - eine Schwachstelle in mod_http2, die es ermöglicht, im Moment des Verbindungsabbruchs das Lesen von Inhalten aus einem bereits freigegebenen Speicherbereich zu initiieren (read-after-free).

Die bemerkenswertesten nicht sicherheitsrelevanten Änderungen sind:

  • mod_proxy_balancer bietet einen verbesserten Schutz vor XSS/XSRF-Angriffen von vertrauenswürdigen Peers;
  • Eine SessionExpiryUpdateInterval-Einstellung wurde zu mod_session hinzugefügt, um das Intervall für die Aktualisierung der Sitzungs-/Cookie-Ablaufzeit zu bestimmen;
  • Seiten mit Fehlern wurden bereinigt, um die Anzeige von Informationen aus Anfragen auf diesen Seiten zu beseitigen;
  • mod_http2 berücksichtigt den Wert des Parameters „LimitRequestFieldSize“, der bisher nur für die Prüfung von HTTP/1.1-Header-Feldern gültig war;
  • Stellt sicher, dass die mod_proxy_hcheck-Konfiguration erstellt wird, wenn sie in BalancerMember verwendet wird;
  • Reduzierter Speicherverbrauch in mod_dav bei Verwendung des PROPFIND-Befehls für eine große Sammlung;
  • In mod_proxy und mod_ssl wurden Probleme mit der Angabe von Zertifikat- und SSL-Einstellungen innerhalb des Proxy-Blocks behoben;
  • mod_proxy ermöglicht die Anwendung der SSLProxyCheckPeer*-Einstellungen auf alle Proxy-Module;
  • Modulfunktionen erweitert mod_md, entwickelt von Let's Encrypt-Projekt zur Automatisierung des Empfangs und der Wartung von Zertifikaten mithilfe des ACME-Protokolls (Automatic Certificate Management Environment):
    • Zweite Version des Protokolls hinzugefügt ACMEv2, was jetzt die Standardeinstellung ist und verwendet leere POST-Anfragen statt GET.
    • Unterstützung für die Verifizierung basierend auf der TLS-ALPN-01-Erweiterung (RFC 7301, Application-Layer Protocol Negotiation) hinzugefügt, die in HTTP/2 verwendet wird.
    • Die Unterstützung für die Verifizierungsmethode „tls-sni-01“ wurde eingestellt (aufgrund von Schwachstellen).
    • Befehle zum Einrichten und Unterbrechen der Prüfung mit der Methode „dns-01“ hinzugefügt.
    • Unterstützung hinzugefügt Masken in Zertifikaten, wenn die DNS-basierte Überprüfung aktiviert ist ('dns-01').
    • „md-status“-Handler und Zertifikatsstatusseite „https://domain/.httpd/certificate-status“ implementiert.
    • „MDCertificateFile“- und „MDCertificateKeyFile“-Direktiven zum Konfigurieren von Domänenparametern über statische Dateien hinzugefügt (ohne Unterstützung für automatische Updates).
    • „MDMessageCmd“-Direktive hinzugefügt, um externe Befehle aufzurufen, wenn „erneuerte“, „ablaufende“ oder „fehlerhafte“ Ereignisse auftreten.
    • „MDWarnWindow“-Direktive hinzugefügt, um eine Warnmeldung über den Ablauf des Zertifikats zu konfigurieren;

Source: opennet.ru

Kommentar hinzufügen