ProHoster > Blog > noticias de internet > Lanzamiento del servidor http Apache 2.4.41 con vulnerabilidades corregidas

Lanzamiento del servidor http Apache 2.4.41 con vulnerabilidades corregidas

publicado versión del servidor Apache HTTP 2.4.41 (se omitió la versión 2.4.40), que introdujo 23 cambios y eliminado 6 vulnerabilidades:

  • CVE-2019-10081 Hay un problema en mod_http2 que puede provocar daños en la memoria al enviar solicitudes push en una etapa muy temprana. Cuando se utiliza la configuración "H2PushResource", es posible sobrescribir la memoria en el grupo de procesamiento de solicitudes, pero el problema se limita a un bloqueo porque los datos que se escriben no se basan en la información recibida del cliente;
  • CVE-2019-9517 - exposición reciente Anunciado Vulnerabilidades DoS en implementaciones HTTP/2.
    Un atacante puede agotar la memoria disponible para un proceso y crear una gran carga de CPU abriendo una ventana deslizante HTTP/2 para que el servidor envíe datos sin restricciones, pero manteniendo la ventana TCP cerrada, evitando que los datos se escriban en el socket;

  • CVE-2019-10098 - un problema en mod_rewrite, que le permite usar el servidor para reenviar solicitudes a otros recursos (redireccionamiento abierto). Algunas configuraciones de mod_rewrite pueden hacer que el usuario sea reenviado a otro enlace, codificado usando un carácter de nueva línea dentro de un parámetro usado en una redirección existente. Para bloquear el problema en RegexDefaultOptions, puede usar el indicador PCRE_DOTALL, que ahora está configurado de forma predeterminada;
  • CVE-2019-10092 - la capacidad de realizar secuencias de comandos entre sitios en las páginas de error mostradas por mod_proxy. En estas páginas, el enlace contiene la URL obtenida de la solicitud, en la que un atacante puede insertar código HTML arbitrario mediante caracteres de escape;
  • CVE-2019-10097 — Desbordamiento de pila y desreferencia del puntero NULL en mod_remoteip, explotados mediante la manipulación del encabezado del protocolo PROXY. El ataque sólo puede llevarse a cabo desde el lado del servidor proxy utilizado en la configuración, y no a través de una solicitud del cliente;
  • CVE-2019-10082 - una vulnerabilidad en mod_http2 que permite, en el momento de finalizar la conexión, iniciar la lectura de contenidos desde un área de memoria ya liberada (read-after-free).

Los cambios no relacionados con la seguridad más notables son:

  • mod_proxy_balancer ha mejorado la protección contra ataques XSS/XSRF de pares confiables;
  • Se ha agregado una configuración SessionExpiryUpdateInterval a mod_session para determinar el intervalo para actualizar el tiempo de vencimiento de la sesión/cookie;
  • Se limpiaron las páginas con errores, con el objetivo de eliminar la visualización de información de las solicitudes en estas páginas;
  • mod_http2 tiene en cuenta el valor del parámetro “LimitRequestFieldSize”, que anteriormente sólo era válido para comprobar los campos de encabezado HTTP/1.1;
  • Garantiza que se cree la configuración mod_proxy_hcheck cuando se utiliza en BalancerMember;
  • Se redujo el consumo de memoria en mod_dav cuando se usa el comando PROPFIND en una colección grande;
  • En mod_proxy y mod_ssl, se resolvieron los problemas al especificar la configuración de certificado y SSL dentro del bloque Proxy;
  • mod_proxy permite aplicar la configuración SSLProxyCheckPeer* a todos los módulos proxy;
  • Capacidades del módulo ampliadas mod_md, desarrollado por Proyecto Let's Encrypt para automatizar la recepción y mantenimiento de certificados mediante el protocolo ACME (Automatic Certificate Management Environment):
    • Añadida segunda versión del protocolo. ACMEv2, que ahora es el valor predeterminado y usos Solicitudes POST vacías en lugar de GET.
    • Se agregó soporte para la verificación basada en la extensión TLS-ALPN-01 (RFC 7301, Negociación del protocolo de capa de aplicación), que se utiliza en HTTP/2.
    • Se ha interrumpido la compatibilidad con el método de verificación 'tls-sni-01' (debido a vulnerabilidades).
    • Se agregaron comandos para configurar y cancelar el cheque usando el método 'dns-01'.
    • Soporte agregado mascaras en los certificados cuando la verificación basada en DNS está habilitada ('dns-01').
    • Se implementó el controlador 'md-status' y la página de estado del certificado 'https://domain/.httpd/certificate-status'.
    • Se agregaron las directivas "MDCertificateFile" y "MDCertificateKeyFile" para configurar los parámetros del dominio a través de archivos estáticos (sin soporte de actualización automática).
    • Se agregó la directiva "MDMessageCmd" para llamar a comandos externos cuando ocurren eventos "renovados", "caducados" o "con errores".
    • Se agregó la directiva "MDWarnWindow" para configurar un mensaje de advertencia sobre la caducidad del certificado;

Fuente: opennet.ru

Añadir un comentario