Veröffentlichung des Apache HTTP-Servers 2.4.46 (die Versionen 2.4.44 und 2.4.45 wurden übersprungen), die eingeführt wurde und beseitigt :
- – ein Pufferüberlauf im Modul mod_proxy_uwsgi, der beim Senden einer speziell gestalteten Anfrage zu Informationslecks oder zur Codeausführung auf dem Server führen kann. Die Schwachstelle wird ausgenutzt, indem ein sehr langer HTTP-Header gesendet wird. Zum Schutz wurde das Blockieren von Headern, die länger als 16 KB sind, hinzugefügt (ein in der Protokollspezifikation definierter Grenzwert).
- – eine Schwachstelle im mod_http2-Modul, die dazu führt, dass der Prozess abstürzt, wenn eine Anfrage mit einem speziell entwickelten HTTP/2-Header gesendet wird. Das Problem tritt auf, wenn Debugging oder Tracing im Modul mod_http2 aktiviert ist, und spiegelt sich in einer Beschädigung des Speicherinhalts aufgrund einer Race-Bedingung beim Speichern von Informationen im Protokoll wider. Das Problem tritt nicht auf, wenn LogLevel auf „info“ gesetzt ist.
- – eine Schwachstelle im mod_http2-Modul, die einen Prozessabsturz ermöglicht, wenn eine Anfrage über HTTP/2 mit einem speziell entwickelten „Cache-Digest“-Headerwert gesendet wird (der Absturz tritt auf, wenn versucht wird, eine HTTP/2-PUSH-Operation für eine Ressource auszuführen) . Um die Schwachstelle zu blockieren, können Sie die Einstellung „H2Push off“ verwenden.
- – mod_remoteip-Schwachstelle, die es Ihnen ermöglicht, IP-Adressen während des Proxyings mithilfe von mod_remoteip und mod_rewrite zu fälschen. Das Problem tritt nur bei den Versionen 2.4.1 bis 2.4.23 auf.
Die bemerkenswertesten nicht sicherheitsrelevanten Änderungen sind:
- Die Unterstützung für Entwurfsspezifikationen wurde aus mod_http2 entfernt , dessen Beförderung gestoppt wurde.
- Das Verhalten der „LimitRequestFields“-Direktive in mod_http2 wurde geändert; die Angabe eines Werts von 0 deaktiviert jetzt das Limit.
- mod_http2 ermöglicht die Verarbeitung primärer und sekundärer (Master/Sekundär)-Verbindungen und die Markierung von Methoden je nach Verwendung.
- Wenn von einem FCGI/CGI-Skript falscher Last-Modified-Header-Inhalt empfangen wird, wird dieser Header jetzt in der Unix-Epochenzeit entfernt und nicht ersetzt.
- Die Funktion ap_parse_strict_length() wurde dem Code hinzugefügt, um die Inhaltsgröße streng zu analysieren.
- ProxyFCGISetEnvIf von Mod_proxy_fcgi stellt sicher, dass Umgebungsvariablen entfernt werden, wenn der angegebene Ausdruck False zurückgibt.
- Eine Race-Bedingung und ein möglicher mod_ssl-Absturz bei Verwendung eines Client-Zertifikats, das über die SSLProxyMachineCertificateFile-Einstellung angegeben wurde, wurden behoben.
- Speicherleck in mod_ssl behoben.
- mod_proxy_http2 ermöglicht die Verwendung des Proxy-Parameters „» bei der Überprüfung der Funktionsfähigkeit einer neuen oder wiederverwendeten Verbindung zum Backend.
- Die Bindung von httpd mit der Option „-lsystemd“ wurde gestoppt, wenn mod_systemd aktiviert ist.
- mod_proxy_http2 stellt sicher, dass die ProxyTimeout-Einstellung berücksichtigt wird, wenn auf eingehende Daten über Verbindungen zum Backend gewartet wird.
Source: opennet.ru