ProHoster > Блог > interretaj novaĵoj > Apache 2.4.46 http-servila liberigo kun vundeblecoj fiksitaj

Apache 2.4.46 http-servila liberigo kun vundeblecoj fiksitaj

eldonita eldono de la Apache HTTP-servilo 2.4.46 (eldonoj 2.4.44 kaj 2.4.45 estis preterlasitaj), kiu enkondukis 17 ŝanĝoj kaj eliminita 3 vundeblecoj:

  • CVE-2020-11984 — bufro superfluo en la mod_proxy_uwsgi-modulo, kiu povas konduki al informfluado aŭ koda ekzekuto sur la servilo dum sendado de speciale kreita peto. La vundebleco estas ekspluatata sendante tre longan HTTP-kapon. Por protekto, blokado de kaplinioj pli longaj ol 16K estis aldonita (limo difinita en la protokola specifo).
  • CVE-2020-11993 — vundebleco en la mod_http2-modulo, kiu ebligas al la procezo kraŝi kiam oni sendas peton kun speciale desegnita HTTP/2-kapo. La problemo manifestiĝas kiam senararigado aŭ spurado estas ebligita en la mod_http2-modulo kaj reflektiĝas en memorenhava korupto pro raskondiĉo dum konservado de informoj al la protokolo. La problemo ne aperas kiam LogLevel estas agordita al "info".
  • CVE-2020-9490 — vundebleco en la mod_http2-modulo, kiu ebligas al procezo kraŝi kiam oni sendas peton per HTTP/2 kun speciale desegnita 'Cache-Digest'-kapa valoro (la kraŝo okazas kiam oni provas fari HTTP/2 PUSH-operacion sur rimedo) . Por bloki la vundeblecon, vi povas uzi la agordon "H2Push off".
  • CVE-2020-11985 — mod_remoteip vundebleco, kiu permesas vin falsigi IP-adresojn dum prokurado uzante mod_remoteip kaj mod_rewrite. La problemo aperas nur por eldonoj 2.4.1 ĝis 2.4.23.

La plej rimarkindaj ne-sekurecaj ŝanĝoj:

  • Subteno por skiza specifo estis forigita de mod_http2 kazuho-h2-cache-digest, kies promocio estas ĉesigita.
  • Ŝanĝis la konduton de la direktivo "LimitRequestFields" en mod_http2; specifi valoron de 0 nun malŝaltas la limon.
  • mod_http2 provizas prilaboradon de primaraj kaj malĉefaj (majstraj/sekundaraj) konektoj kaj markado de metodoj depende de uzo.
  • Se malĝusta Lasta-Modifita kapenhavo estas ricevita de FCGI/CGI-skripto, ĉi tiu kaplinio nun estas forigita prefere ol anstataŭigita en Uniksa epoko.
  • La funkcio ap_parse_strict_length() estis aldonita al la kodo por strikte analizi la enhavgrandecon.
  • ProxyFCGISetEnvIf de Mod_proxy_fcgi certigas, ke mediovariabloj estas forigitaj se la donita esprimo donas False.
  • Korektis raskondiĉon kaj ebla mod_ssl-kraŝo kiam vi uzas klientan atestilon specifitan per la agordo SSLProxyMachineCertificateFile.
  • Riparita memorfuko en mod_ssl.
  • mod_proxy_http2 provizas la uzon de la prokura parametro "ping» kiam oni kontrolas la funkciecon de nova aŭ reuzita konekto al la backend.
  • Ĉesis ligi httpd kun la opcio "-lsystemd" kiam mod_systemd estas ebligita.
  • mod_proxy_http2 certigas, ke la agordo ProxyTimeout estas konsiderata kiam oni atendas envenajn datumojn per konektoj al la backend.

fonto: opennet.ru

Aldoni komenton