ProHoster > Blog > Interneteko albisteak > Apache 2.4.46 http zerbitzariaren bertsioa ahultasunak konponduta

Apache 2.4.46 http zerbitzariaren bertsioa ahultasunak konponduta

argitaratua Apache HTTP zerbitzariaren 2.4.46 bertsioa (2.4.44 eta 2.4.45 bertsioak saltatu ziren), eta horrek aurkeztu zuen 17 aldaketa eta ezabatu 3 ahultasun:

  • CVE-2020-11984 β€” Buffer gainezka mod_proxy_uwsgi moduluan, eta horrek informazio ihesa edo kodea exekutatzeko zerbitzarian ekar dezake bereziki landutako eskaera bat bidaltzean. Ahultasuna HTTP goiburu oso luzea bidaliz baliatzen da. Babeserako, 16K baino luzeagoak diren goiburuen blokeoa gehitu da (protokoloaren zehaztapenean zehaztutako muga).
  • CVE-2020-11993 β€” mod_http2 moduluko ahultasun bat, eskaera bat bidaltzean berariaz diseinatutako HTTP/2 goiburu batekin prozesua huts egitea ahalbidetzen duena. Arazoa mod_http2 moduluan arazketa edo trazamendua gaituta dagoenean agertzen da eta memoria edukiaren ustelkerian islatzen da lasterketa-baldintza bat dela eta informazioa erregistroan gordetzean. Arazoa ez da agertzen LogLevel "info" gisa ezartzen denean.
  • CVE-2020-9490 β€” Mod_http2 moduluko ahultasun bat, HTTP/2 bidez eskaera bat bidaltzean bereziki diseinatutako 'Cache-Digest' goiburuko balio batekin prozesu bat huts egitea ahalbidetzen duena (matxura bat baliabide batean HTTP/2 PUSH eragiketa bat egiten saiatzean gertatzen da) . Ahultasuna blokeatzeko, "H2Push off" ezarpena erabil dezakezu.
  • CVE-2020-11985 β€” mod_remoteip ahultasuna, IP helbideak faltifikatzeko aukera ematen duena proxing-ean mod_remoteip eta mod_rewrite erabiliz. Arazoa 2.4.1etik 2.4.23rako bertsioetarako bakarrik agertzen da.

Segurtasunaz kanpoko aldaketa nabarmenenak hauek dira:

  • Zirriborroaren zehaztapenaren euskarria kendu da mod_http2-tik kazuho-h2-cache-digest, zeinaren sustapena gelditu den.
  • "LimitRequestFields" zuzentarauaren portaera aldatu da mod_http2-n; 0 balio bat zehaztuz gero, muga desgaitu egiten da.
  • mod_http2-k lehen eta bigarren mailako konexioak (maisua/bigarren mailakoa) prozesatzen ditu eta metodoak markatzen ditu erabileraren arabera.
  • FCGI/CGI script batetik azken aldatutako goiburuko eduki okerra jasotzen bada, goiburu hau kendu egingo da Unix-en garaian ordezkatu beharrean.
  • ap_parse_strict_length() funtzioa gehitu da kodeari edukiaren tamaina zorrotz analizatzeko.
  • Mod_proxy_fcgi-ren ProxyFCGISetEnvIf-ek ingurune-aldagaiak kentzen direla ziurtatzen du emandako adierazpenak False itzultzen badu.
  • SSLProxyMachineCertificateFile ezarpenaren bidez zehaztutako bezero-ziurtagiria erabiltzean, lasterketa-baldintza bat eta mod_ssl hutsegite posiblea konpondu dira.
  • Mod_ssl-n memoria ihesa konpondu da.
  • mod_proxy_http2 proxy parametroaren erabilera eskaintzen du "pingΒ» backenderako konexio berri edo berrerabili baten funtzionaltasuna egiaztatzean.
  • httpd "-lsystemd" aukerarekin lotzeari utzi zion mod_systemd gaituta dagoenean.
  • mod_proxy_http2-k ProxyTimeout ezarpena kontuan hartzen dela bermatzen du sarrerako datuen zain dagoenean backenderako konexioen bidez.

Iturria: opennet.ru

Gehitu iruzkin berria