آپاچی 2.4.41 سرور http با آسیب‌پذیری رفع شد

منتشر شده انتشار سرور Apache HTTP 2.4.41 (نسخه 2.4.40 حذف شد) که معرفی شد 23 تغییر و حذف شد 6 آسیب پذیری:

• CVE-2019-10081 مشکلی در mod_http2 است که می تواند منجر به خراب شدن حافظه هنگام ارسال درخواست های فشار در مراحل اولیه شود. هنگام استفاده از تنظیمات "H2PushResource"، امکان بازنویسی حافظه در استخر پردازش درخواست وجود دارد، اما مشکل به یک خرابی محدود می شود زیرا داده های در حال نوشتن بر اساس اطلاعات دریافت شده از مشتری نیست.
• CVE-2019-9517 - قرار گرفتن در معرض اخیر اعلام کرد آسیب‌پذیری‌های DoS در پیاده‌سازی HTTP/2.
  مهاجم می‌تواند حافظه در دسترس یک فرآیند را تخلیه کند و با باز کردن یک پنجره HTTP/2 کشویی برای سرور برای ارسال داده‌ها بدون محدودیت، اما بسته نگه داشتن پنجره TCP، از نوشتن داده‌ها در سوکت جلوگیری می‌کند، یک بار CPU سنگین ایجاد می‌کند.

• CVE-2019-10098 - مشکلی در mod_rewrite که به شما امکان می دهد از سرور برای ارسال درخواست ها به منابع دیگر استفاده کنید (redirect redirect). برخی از تنظیمات mod_rewrite ممکن است منجر به ارسال کاربر به پیوند دیگری شود که با استفاده از یک کاراکتر خط جدید در یک پارامتر مورد استفاده در تغییر مسیر موجود کدگذاری شده است. برای مسدود کردن مشکل در RegexDefaultOptions، می توانید از پرچم PCRE_DOTALL استفاده کنید که اکنون به طور پیش فرض تنظیم شده است.
• CVE-2019-10092 - امکان انجام اسکریپت بین سایتی در صفحات خطای نمایش داده شده توسط mod_proxy. در این صفحات، پیوند حاوی URL به دست آمده از درخواست است، که در آن مهاجم می تواند کد HTML دلخواه را از طریق فرار از کاراکتر وارد کند.
• CVE-2019-10097 - سرریز پشته و اشاره گر NULL در mod_remoteip که از طریق دستکاری هدر پروتکل PROXY مورد سوء استفاده قرار می گیرد. حمله فقط می تواند از سمت سرور پراکسی مورد استفاده در تنظیمات انجام شود و نه از طریق درخواست مشتری.
• CVE-2019-10082 - یک آسیب‌پذیری در mod_http2 که به شما امکان می‌دهد در لحظه پایان اتصال، خواندن محتویات را از یک منطقه حافظه آزاد شده (خواندن پس از آزاد) آغاز کند.

بارزترین تغییرات غیر امنیتی عبارتند از:

• mod_proxy_balancer محافظت در برابر حملات XSS/XSRF از طرف همتایان مورد اعتماد را بهبود بخشیده است.
• یک تنظیم SessionExpiryUpdateInterval به mod_session اضافه شده است تا فاصله زمانی را برای به‌روزرسانی زمان انقضای جلسه/کوکی تعیین کند.
• صفحات دارای خطا با هدف حذف نمایش اطلاعات از درخواست ها در این صفحات پاک شدند.
• mod_http2 مقدار پارامتر "LimitRequestFieldSize" را در نظر می گیرد، که قبلا فقط برای بررسی فیلدهای هدر HTTP/1.1 معتبر بود.
• اطمینان حاصل می کند که پیکربندی mod_proxy_hcheck هنگام استفاده در BalancerMember ایجاد شده است.
• کاهش مصرف حافظه در mod_dav هنگام استفاده از دستور PROPFIND در یک مجموعه بزرگ.
• در mod_proxy و mod_ssl، مشکلات مربوط به تعیین گواهی و تنظیمات SSL در داخل بلوک Proxy حل شده است.
• mod_proxy به تنظیمات SSLProxyCheckPeer* اجازه می دهد تا بر روی همه ماژول های پروکسی اعمال شود.
• قابلیت های ماژول گسترش یافته است mod_md, توسعه یافته بیایید پروژه را رمزگذاری کنیم تا دریافت و نگهداری گواهی ها را با استفاده از پروتکل ACME (محیط مدیریت خودکار گواهینامه) خودکار کنیم:
  • نسخه دوم پروتکل اضافه شد ACMEv2، که اکنون پیش فرض و استفاده می کند درخواست های POST را به جای GET خالی کنید.
  • اضافه شدن پشتیبانی برای تأیید بر اساس پسوند TLS-ALPN-01 (RFC 7301، Application-Layer Protocol Negotiation)، که در HTTP/2 استفاده می شود.
  • پشتیبانی از روش تأیید 'tls-sni-01' متوقف شده است (به دلیل آسیب پذیری ها).
  • دستورات اضافه شده برای تنظیم و شکستن چک با استفاده از روش 'dns-01'.
  • پشتیبانی اضافه شد ماسک ها در گواهی‌ها وقتی تأیید مبتنی بر DNS فعال است ('dns-01').
  • کنترل‌کننده «md-status» و صفحه وضعیت گواهی «https://domain/.httpd/certificate-status» پیاده‌سازی شد.
  • دستورالعمل های "MDCertificateFile" و "MDCertificateKeyFile" برای پیکربندی پارامترهای دامنه از طریق فایل های ثابت (بدون پشتیبانی از به روز رسانی خودکار) اضافه شده است.
  • دستورالعمل "MDMessageCmd" برای فراخوانی دستورات خارجی در هنگام رخ دادن رویدادهای "تجدید"، "انقضا" یا "خطا" اضافه شد.
  • دستورالعمل "MDWarnWindow" برای پیکربندی پیام هشدار در مورد انقضای گواهی اضافه شد.

منبع: opennet.ru