version du serveur HTTP Apache 2.4.46 (les versions 2.4.44 et 2.4.45 ont été ignorées), qui a introduit et éliminé :
- — un débordement de tampon dans le module mod_proxy_uwsgi, pouvant entraîner une fuite d'informations ou l'exécution de code sur le serveur lors de l'envoi d'une requête spécialement conçue. La vulnérabilité est exploitée en envoyant un en-tête HTTP très long. Pour des raisons de protection, le blocage des en-têtes de plus de 16 Ko a été ajouté (une limite définie dans la spécification du protocole).
- — une vulnérabilité dans le module mod_http2 qui permet au processus de planter lors de l'envoi d'une requête avec un en-tête HTTP/2 spécialement conçu. Le problème se manifeste lorsque le débogage ou le traçage est activé dans le module mod_http2 et se reflète dans la corruption du contenu de la mémoire en raison d'une condition de concurrence critique lors de l'enregistrement des informations dans le journal. Le problème n'apparaît pas lorsque LogLevel est défini sur « info ».
- — une vulnérabilité dans le module mod_http2 qui permet à un processus de planter lors de l'envoi d'une requête via HTTP/2 avec une valeur d'en-tête 'Cache-Digest' spécialement conçue (le crash se produit lors de la tentative d'exécution d'une opération HTTP/2 PUSH sur une ressource) . Pour bloquer la vulnérabilité, vous pouvez utiliser le paramètre « H2Push off ».
- — vulnérabilité mod_remoteip, qui vous permet d'usurper les adresses IP lors du proxy à l'aide de mod_remoteip et mod_rewrite. Le problème n'apparaît que pour les versions 2.4.1 à 2.4.23.
Les changements non liés à la sécurité les plus notables :
- La prise en charge du projet de spécification a été supprimée de mod_http2 , dont la promotion a été arrêtée.
- Modification du comportement de la directive "LimitRequestFields" dans mod_http2 ; spécifier une valeur de 0 désactive désormais la limite.
- mod_http2 assure le traitement des connexions primaires et secondaires (maître/secondaire) et le marquage des méthodes en fonction de l'utilisation.
- Si un contenu d'en-tête Last-Modified incorrect est reçu d'un script FCGI/CGI, cet en-tête est désormais supprimé plutôt que remplacé à l'époque Unix.
- La fonction ap_parse_strict_length() a été ajoutée au code pour analyser strictement la taille du contenu.
- ProxyFCGISetEnvIf de Mod_proxy_fcgi garantit que les variables d'environnement sont supprimées si l'expression donnée renvoie False.
- Correction d'une condition de concurrence critique et d'un éventuel crash de mod_ssl lors de l'utilisation d'un certificat client spécifié via le paramètre SSLProxyMachineCertificateFile.
- Correction d'une fuite de mémoire dans mod_ssl.
- mod_proxy_http2 propose l'utilisation du paramètre proxy "» lors de la vérification de la fonctionnalité d'une connexion nouvelle ou réutilisée au backend.
- Arrêt de la liaison de httpd avec l'option "-lsystemd" lorsque mod_systemd est activé.
- mod_proxy_http2 garantit que le paramètre ProxyTimeout est pris en compte lors de l'attente des données entrantes via les connexions au backend.
Source: opennet.ru