ProHoster > Blogi > internetiuudised > Apache 2.4.46 http-serveri väljalase, mille haavatavused on parandatud

Apache 2.4.46 http-serveri väljalase, mille haavatavused on parandatud

avaldatud Apache HTTP serveri versioon 2.4.46 (väljalasked 2.4.44 ja 2.4.45 jäeti vahele), mis tutvustas 17 muudatust ja kõrvaldatud 3 haavatavused:

  • CVE-2020-11984 — puhvri ületäitumine moodulis mod_proxy_uwsgi, mis võib spetsiaalselt koostatud päringu saatmisel kaasa tuua teabelekke või koodi täitmise serveris. Haavatavust kasutatakse ära väga pika HTTP-päise saatmisega. Kaitseks on lisatud üle 16K pikemate päiste blokeerimine (protokolli spetsifikatsioonis määratletud limiit).
  • CVE-2020-11993 — haavatavus moodulis mod_http2, mis võimaldab protsessil krahhi, kui saadetakse päring spetsiaalselt loodud HTTP/2 päisega. Probleem ilmneb siis, kui silumine või jälgimine on moodulis mod_http2 lubatud ja see kajastub võistlustingimustest tingitud mälusisu kahjustuses teabe logisse salvestamisel. Probleem ei ilmu, kui LogLevel on seatud väärtusele "info".
  • CVE-2020-9490 — haavatavus moodulis mod_http2, mis võimaldab protsessil krahhi teha, kui saadab päring HTTP/2 kaudu spetsiaalselt loodud Cache-Digesti päiseväärtusega (krahh tekib siis, kui üritatakse ressursiga teha HTTP/2 PUSH-toimingut) . Haavatavuse blokeerimiseks saate kasutada sätet "H2Push off".
  • CVE-2020-11985 — mod_remoteip haavatavus, mis võimaldab puhverserveri kasutamise ajal IP-aadresse võltsida, kasutades mod_remoteip ja mod_rewrite. Probleem ilmneb ainult versioonide 2.4.1 kuni 2.4.23 puhul.

Kõige olulisemad turvalisusega mitteseotud muudatused on järgmised:

  • Spetsifikatsiooni mustandi tugi on saidilt mod_http2 eemaldatud kazuho-h2-cache-digest, mille reklaamimine on peatatud.
  • Muutis mod_http2 direktiivi "LimitRequestFields" käitumist; väärtuse 0 määramine keelab nüüd piirangu.
  • mod_http2 pakub primaarsete ja sekundaarsete (ülema/teise) ühenduste töötlemist ning meetodite märgistamist olenevalt kasutusest.
  • Kui FCGI/CGI-skriptist saadakse vale viimati muudetud päise sisu, eemaldatakse see päis nüüd, mitte ei asendata Unixi ajastu ajal.
  • Sisu suuruse rangeks sõelumiseks on koodile lisatud funktsioon ap_parse_strict_length().
  • Mod_proxy_fcgi ProxyFCGISetEnvIf tagab, et keskkonnamuutujad eemaldatakse, kui antud avaldis tagastab Väär.
  • Parandatud võistlustingimus ja võimalik mod_ssl krahh, kui kasutati SSLProxyMachineCertificateFile sätte kaudu määratud kliendisertifikaati.
  • Parandatud mäluleke failis mod_ssl.
  • mod_proxy_http2 võimaldab kasutada puhverserveri parameetrit "ping» uue või taaskasutatud taustaühenduse funktsionaalsuse kontrollimisel.
  • Peatatud httpd sidumine valikuga "-lsystemd", kui mod_systemd on lubatud.
  • mod_proxy_http2 tagab, et seade ProxyTimeout võetakse arvesse taustaprogrammi ühenduste kaudu sissetulevate andmete ootamisel.

Allikas: opennet.ru

Lisa kommentaar