ProHoster > وبلاگ > اخبار اینترنتی > آپاچی 2.4.46 سرور http با آسیب‌پذیری رفع شد

آپاچی 2.4.46 سرور http با آسیب‌پذیری رفع شد

منتشر شده انتشار سرور HTTP Apache 2.4.46 (نسخه های 2.4.44 و 2.4.45 حذف شدند) که معرفی شد 17 تغییر و حذف شد 3 آسیب پذیری:

  • CVE-2020-11984 - یک سرریز بافر در ماژول mod_proxy_uwsgi، که می تواند منجر به نشت اطلاعات یا اجرای کد در سرور هنگام ارسال یک درخواست طراحی شده خاص شود. این آسیب پذیری با ارسال یک هدر بسیار طولانی HTTP مورد سوء استفاده قرار می گیرد. برای محافظت، مسدود کردن هدرهای بیشتر از 16K اضافه شده است (محدودیتی که در مشخصات پروتکل تعریف شده است).
  • CVE-2020-11993 - یک آسیب‌پذیری در ماژول mod_http2 که به فرآیند اجازه می‌دهد هنگام ارسال درخواست با هدر HTTP/2 به‌خصوص طراحی شده از کار بیفتد. این مشکل زمانی خود را نشان می دهد که اشکال زدایی یا ردیابی در ماژول mod_http2 فعال می شود و در خرابی محتوای حافظه به دلیل شرایط مسابقه هنگام ذخیره اطلاعات در گزارش منعکس می شود. وقتی LogLevel روی "info" تنظیم شده باشد، مشکل ظاهر نمی شود.
  • CVE-2020-9490 — یک آسیب‌پذیری در ماژول mod_http2 که به فرآیند اجازه می‌دهد هنگام ارسال درخواست از طریق HTTP/2 با مقدار سرصفحه «Cache-Digest» طراحی‌شده‌ای از کار بیفتد (خراش زمانی رخ می‌دهد که سعی می‌کنید عملیات PUSH HTTP/2 را روی یک منبع انجام دهید) . برای مسدود کردن این آسیب‌پذیری، می‌توانید از تنظیمات «H2Push off» استفاده کنید.
  • CVE-2020-11985 — آسیب‌پذیری mod_remoteip، که به شما امکان می‌دهد آدرس‌های IP را در حین پروکسی با استفاده از mod_remoteip و mod_rewrite جعل کنید. مشکل فقط برای نسخه های 2.4.1 تا 2.4.23 ظاهر می شود.

بارزترین تغییرات غیر امنیتی عبارتند از:

  • پشتیبانی از مشخصات پیش نویس از mod_http2 حذف شده است kazuho-h2-cache-digest، که تبلیغ آن متوقف شده است.
  • رفتار دستورالعمل "LimitRequestFields" را در mod_http2 تغییر داد؛ تعیین مقدار 0 اکنون محدودیت را غیرفعال می کند.
  • mod_http2 پردازش اتصالات اولیه و ثانویه (master/secondary) و علامت گذاری روش ها را بسته به استفاده فراهم می کند.
  • اگر محتوای هدر آخرین اصلاح شده نادرست از یک اسکریپت FCGI/CGI دریافت شود، این هدر اکنون به جای جایگزینی در زمان یونیکس حذف می شود.
  • تابع ap_parse_strict_length() به کد اضافه شده است تا به طور دقیق اندازه محتوا را تجزیه کند.
  • ProxyFCGISetEnvIf Mod_proxy_fcgi تضمین می کند که اگر عبارت داده شده False را برگرداند، متغیرهای محیط حذف می شوند.
  • هنگام استفاده از گواهی مشتری مشخص شده از طریق تنظیمات SSLProxyMachineCertificateFile، وضعیت مسابقه و خرابی احتمالی mod_ssl را برطرف کرد.
  • رفع نشت حافظه در mod_ssl.
  • mod_proxy_http2 استفاده از پارامتر پروکسی را فراهم می کند "پینگ» هنگام بررسی عملکرد یک اتصال جدید یا استفاده مجدد به باطن.
  • وقتی mod_systemd فعال است، اتصال httpd با گزینه "-lsystemd" متوقف شد.
  • mod_proxy_http2 تضمین می کند که تنظیمات ProxyTimeout هنگام انتظار برای داده های دریافتی از طریق اتصالات به backend در نظر گرفته می شود.

منبع: opennet.ru

اضافه کردن نظر