ProHoster > Blog > actualités internet > Version du serveur http Apache 2.4.41 avec vulnérabilités corrigées

Version du serveur http Apache 2.4.41 avec vulnérabilités corrigées

Publié version du serveur HTTP Apache 2.4.41 (la version 2.4.40 a été ignorée), qui a introduit 23 changements et éliminé 6 vulnérabilités:

  • CVE-2019-10081 est un problème dans mod_http2 qui peut entraîner une corruption de la mémoire lors de l'envoi de requêtes push à un stade très précoce. Lors de l'utilisation du paramètre « H2PushResource », il est possible d'écraser la mémoire dans le pool de traitement des requêtes, mais le problème se limite à un crash car les données en cours d'écriture ne sont pas basées sur les informations reçues du client ;
  • CVE-2019-9517 - exposition récente annoncé Vulnérabilités DoS dans les implémentations HTTP/2.
    Un attaquant peut épuiser la mémoire disponible pour un processus et créer une lourde charge CPU en ouvrant une fenêtre HTTP/2 coulissante pour que le serveur envoie des données sans restrictions, mais en gardant la fenêtre TCP fermée, empêchant ainsi l'écriture des données sur le socket ;
  • CVE-2019-10098 - un problème dans mod_rewrite, qui permet d'utiliser le serveur pour transmettre des requêtes vers d'autres ressources (open redirect). Certains paramètres de mod_rewrite peuvent entraîner le transfert de l'utilisateur vers un autre lien, codé à l'aide d'un caractère de nouvelle ligne dans un paramètre utilisé dans une redirection existante. Pour bloquer le problème dans RegexDefaultOptions, vous pouvez utiliser l'indicateur PCRE_DOTALL, qui est désormais défini par défaut ;
  • CVE-2019-10092 - la possibilité d'effectuer du cross-site scripting sur les pages d'erreur affichées par mod_proxy. Sur ces pages, le lien contient l'URL obtenue à partir de la requête, dans laquelle un attaquant peut insérer du code HTML arbitraire via l'échappement de caractères ;
  • CVE-2019-10097 — débordement de pile et déréférencement de pointeur NULL dans mod_remoteip, exploités via la manipulation de l'en-tête du protocole PROXY. L'attaque ne peut être effectuée que du côté du serveur proxy utilisé dans les paramètres, et non via une demande client ;
  • CVE-2019-10082 - une vulnérabilité dans mod_http2 qui permet, au moment de la fin de la connexion, de lancer la lecture du contenu d'une zone mémoire déjà libérée (read-after-free).

Les changements non liés à la sécurité les plus notables :

  • mod_proxy_balancer a amélioré la protection contre les attaques XSS/XSRF provenant de pairs de confiance ;
  • Un paramètre SessionExpiryUpdateInterval a été ajouté à mod_session pour déterminer l'intervalle de mise à jour de l'heure d'expiration de la session/du cookie ;
  • Les pages contenant des erreurs ont été nettoyées, visant à éliminer l'affichage des informations des demandes sur ces pages ;
  • mod_http2 prend en compte la valeur du paramètre « LimitRequestFieldSize », qui n'était auparavant valable que pour vérifier les champs d'en-tête HTTP/1.1 ;
  • Garantit que la configuration mod_proxy_hcheck est créée lorsqu'elle est utilisée dans BalancerMember ;
  • Consommation de mémoire réduite dans mod_dav lors de l'utilisation de la commande PROPFIND sur une grande collection ;
  • Dans mod_proxy et mod_ssl, les problèmes de spécification des paramètres de certificat et SSL à l'intérieur du bloc Proxy ont été résolus ;
  • mod_proxy permet aux paramètres SSLProxyCheckPeer* d'être appliqués à tous les modules proxy ;
  • Capacités du module étendues mod_md, développé par Projet Let's Encrypt pour automatiser la réception et la maintenance des certificats à l'aide du protocole ACME (Automatic Certificate Management Environment) :
    • Ajout de la deuxième version du protocole ACMEv2, qui est maintenant la valeur par défaut et utilise requêtes POST vides au lieu de GET.
    • Ajout de la prise en charge de la vérification basée sur l'extension TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Négociation), utilisée dans HTTP/2.
    • La prise en charge de la méthode de vérification 'tls-sni-01' a été interrompue (en raison de vulnérabilités).
    • Ajout de commandes pour configurer et annuler le contrôle à l'aide de la méthode 'dns-01'.
    • Prise en charge supplémentaire masques dans les certificats lorsque la vérification basée sur DNS est activée (« dns-01 »).
    • Implémentation du gestionnaire 'md-status' et de la page d'état du certificat 'https://domain/.httpd/certificate-status'.
    • Ajout des directives "MDCertificateFile" et "MDCertificateKeyFile" pour configurer les paramètres de domaine via des fichiers statiques (sans prise en charge de la mise à jour automatique).
    • Ajout de la directive « MDMessageCmd » pour appeler des commandes externes lorsque des événements « renouvelés », « expirés » ou « erronés » se produisent.
    • Ajout de la directive « MDWarnWindow » pour configurer un message d'avertissement concernant l'expiration du certificat ;

Source: opennet.ru

Ajouter un commentaire