ProHoster > Blog > ειδήσεις στο διαδίκτυο > Έκδοση διακομιστή Apache 2.4.41 http με διορθωμένα τρωτά σημεία

Έκδοση διακομιστή Apache 2.4.41 http με διορθωμένα τρωτά σημεία

Που δημοσιεύθηκε κυκλοφορία του διακομιστή Apache HTTP 2.4.41 (η έκδοση 2.4.40 παραλείφθηκε), ο οποίος εισήγαγε 23 αλλαγές και εξαλείφθηκαν 6 τρωτά σημεία:

  • CVE-2019-10081 είναι ένα ζήτημα στο mod_http2 που μπορεί να οδηγήσει σε καταστροφή της μνήμης κατά την αποστολή αιτημάτων push σε πολύ πρώιμο στάδιο. Όταν χρησιμοποιείτε τη ρύθμιση "H2PushResource", είναι δυνατή η αντικατάσταση της μνήμης στο χώρο συγκέντρωσης επεξεργασίας αιτημάτων, αλλά το πρόβλημα περιορίζεται σε σφάλμα, επειδή τα δεδομένα που γράφονται δεν βασίζονται σε πληροφορίες που λαμβάνονται από τον πελάτη.
  • CVE-2019-9517 - πρόσφατη έκθεση ανακοινώθηκε Ευπάθειες DoS σε υλοποιήσεις HTTP/2.
    Ένας εισβολέας μπορεί να εξαντλήσει τη διαθέσιμη μνήμη σε μια διεργασία και να δημιουργήσει μεγάλο φόρτο CPU ανοίγοντας ένα συρόμενο παράθυρο HTTP/2 για τον διακομιστή να στέλνει δεδομένα χωρίς περιορισμούς, αλλά κρατώντας το παράθυρο TCP κλειστό, αποτρέποντας την πραγματική εγγραφή δεδομένων στην υποδοχή.

  • CVE-2019-10098 - ένα πρόβλημα στο mod_rewrite, το οποίο σας επιτρέπει να χρησιμοποιήσετε τον διακομιστή για να προωθήσετε αιτήματα σε άλλους πόρους (ανοιχτή ανακατεύθυνση). Ορισμένες ρυθμίσεις mod_rewrite ενδέχεται να έχουν ως αποτέλεσμα την προώθηση του χρήστη σε άλλο σύνδεσμο, κωδικοποιημένο με χρήση χαρακτήρα νέας γραμμής εντός μιας παραμέτρου που χρησιμοποιείται σε μια υπάρχουσα ανακατεύθυνση. Για να αποκλείσετε το πρόβλημα στο RegexDefaultOptions, μπορείτε να χρησιμοποιήσετε τη σημαία PCRE_DOTALL, η οποία έχει πλέον οριστεί από προεπιλογή.
  • CVE-2019-10092 - τη δυνατότητα εκτέλεσης δέσμης ενεργειών μεταξύ τοποθεσιών σε σελίδες σφαλμάτων που εμφανίζονται από το mod_proxy. Σε αυτές τις σελίδες, ο σύνδεσμος περιέχει τη διεύθυνση URL που λαμβάνεται από το αίτημα, στην οποία ένας εισβολέας μπορεί να εισαγάγει αυθαίρετο κώδικα HTML μέσω διαφυγής χαρακτήρων.
  • CVE-2019-10097 — υπερχείλιση στοίβας και αποαναφορά δείκτη NULL στο mod_remoteip, που γίνεται εκμετάλλευση μέσω χειρισμού της κεφαλίδας του πρωτοκόλλου PROXY. Η επίθεση μπορεί να πραγματοποιηθεί μόνο από την πλευρά του διακομιστή μεσολάβησης που χρησιμοποιείται στις ρυθμίσεις και όχι μέσω αιτήματος πελάτη.
  • CVE-2019-10082 - μια ευπάθεια στο mod_http2 που επιτρέπει, τη στιγμή του τερματισμού της σύνδεσης, να ξεκινήσει η ανάγνωση των περιεχομένων από μια ήδη ελευθερωμένη περιοχή μνήμης (ανάγνωση μετά από ελεύθερη).

Οι πιο αξιοσημείωτες αλλαγές που δεν αφορούν την ασφάλεια είναι:

  • Το mod_proxy_balancer έχει βελτιωμένη προστασία από επιθέσεις XSS/XSRF από αξιόπιστους ομοτίμους.
  • Μια ρύθμιση SessionExpiryUpdateInterval έχει προστεθεί στο mod_session για να καθοριστεί το διάστημα για την ενημέρωση του χρόνου λήξης περιόδου λειτουργίας/cookie.
  • Οι σελίδες με σφάλματα καθαρίστηκαν, με στόχο την εξάλειψη της εμφάνισης πληροφοριών από αιτήματα σε αυτές τις σελίδες.
  • Το mod_http2 λαμβάνει υπόψη την τιμή της παραμέτρου "LimitRequestFieldSize", η οποία προηγουμένως ίσχυε μόνο για τον έλεγχο των πεδίων κεφαλίδας HTTP/1.1.
  • Διασφαλίζει ότι η διαμόρφωση mod_proxy_hcheck δημιουργείται όταν χρησιμοποιείται στο BalancerMember.
  • Μειωμένη κατανάλωση μνήμης στο mod_dav κατά τη χρήση της εντολής PROPFIND σε μια μεγάλη συλλογή.
  • Στα mod_proxy και mod_ssl, επιλύθηκαν προβλήματα με τον καθορισμό των ρυθμίσεων πιστοποιητικού και SSL εντός του μπλοκ Proxy.
  • Το mod_proxy επιτρέπει την εφαρμογή ρυθμίσεων SSLProxyCheckPeer* σε όλες τις λειτουργικές μονάδες διακομιστή μεσολάβησης.
  • Οι δυνατότητες της μονάδας επεκτάθηκαν mod_md, αναπτηγμένος Ας κρυπτογραφήσουμε το έργο για να αυτοματοποιήσουμε τη λήψη και τη συντήρηση των πιστοποιητικών χρησιμοποιώντας το πρωτόκολλο ACME (Automatic Certificate Management Environment):
    • Προστέθηκε η δεύτερη έκδοση του πρωτοκόλλου ACMEv2, το οποίο είναι πλέον το προεπιλεγμένο και χρήσεις άδεια αιτήματα POST αντί για GET.
    • Προστέθηκε υποστήριξη για επαλήθευση με βάση την επέκταση TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), η οποία χρησιμοποιείται στο HTTP/2.
    • Η υποστήριξη για τη μέθοδο επαλήθευσης 'tls-sni-01' έχει διακοπεί (λόγω τρωτά σημεία).
    • Προστέθηκαν εντολές για τη ρύθμιση και τη διακοπή του ελέγχου χρησιμοποιώντας τη μέθοδο 'dns-01'.
    • Προστέθηκε υποστήριξη μάσκες στα πιστοποιητικά όταν είναι ενεργοποιημένη η επαλήθευση βάσει DNS ('dns-01').
    • Εφαρμοσμένο πρόγραμμα χειρισμού «md-status» και σελίδα κατάστασης πιστοποιητικού «https://domain/.httpd/certificate-status».
    • Προστέθηκαν οι οδηγίες "MDCertificateFile" και "MDCertificateKeyFile" για τη διαμόρφωση παραμέτρων τομέα μέσω στατικών αρχείων (χωρίς υποστήριξη αυτόματης ενημέρωσης).
    • Προστέθηκε η οδηγία "MDMessageCmd" για την κλήση εξωτερικών εντολών όταν συμβαίνουν συμβάντα "ανανεωμένη", "λήξη" ή "λάθος".
    • Προστέθηκε η οδηγία "MDWarnWindow" για τη διαμόρφωση ενός προειδοποιητικού μηνύματος σχετικά με τη λήξη του πιστοποιητικού.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο