ProHoster > Blog > ynternet nijs > Apache 2.4.41 http-tsjinner frijlitting mei kwetsberens fêst

Apache 2.4.41 http-tsjinner frijlitting mei kwetsberens fêst

publisearre release fan de Apache HTTP-tsjinner 2.4.41 (ferzje 2.4.40 waard oerslein), dy't yntrodusearre 23 feroarings en eliminearre 6 kwetsberens:

  • CVE-2019-10081 is in probleem yn mod_http2 dat kin liede ta ûnthâld korrupsje by it ferstjoeren fan push-oanfragen op in heul ier stadium. By it brûken fan de "H2PushResource" ynstelling, is it mooglik om te oerskriuwe ûnthâld yn it fersyk ferwurkjen pool, mar it probleem is beheind ta in crash omdat de gegevens wurdt skreaun is net basearre op ynformaasje ûntfongen fan de kliïnt;
  • CVE-2019-9517 - resinte exposure oankundige DoS-kwetsberheden yn HTTP/2-ymplemintaasjes.
    In oanfaller kin útput it ûnthâld beskikber foar in proses en meitsje in swiere CPU load troch it iepenjen fan in sliding HTTP / 2 finster foar de tsjinner foar in ferstjoere gegevens sûnder beheinings, mar hâld it TCP finster ticht, foar te kommen dat gegevens werklik wurde skreaun nei de socket;
  • CVE-2019-10098 - in probleem yn mod_rewrite, wêrtroch jo de tsjinner kinne brûke om fersiken nei oare boarnen troch te stjoeren (iepen trochferwizing). Guon mod_rewrite ynstellings kinne resultearje yn de brûker wurdt trochstjoerd nei in oare keppeling, kodearre mei in newline karakter binnen in parameter brûkt yn in besteande trochferwizing. Om it probleem yn RegexDefaultOptions te blokkearjen, kinne jo de PCRE_DOTALL-flagge brûke, dy't no standert ynsteld is;
  • CVE-2019-10092 - de mooglikheid om cross-site skripting út te fieren op flatersiden werjûn troch mod_proxy. Op dizze siden befettet de keppeling de URL krigen fan it fersyk, wêryn in oanfaller willekeurige HTML-koade kin ynfoegje troch karakter te ûntkommen;
  • CVE-2019-10097 - stack oerstream en NULL pointer dereference yn mod_remoteip, eksploitearre troch manipulaasje fan de PROXY protokol header. De oanfal kin allinich útfierd wurde fan 'e kant fan' e proxy-tsjinner dy't brûkt wurdt yn 'e ynstellings, en net fia in klantfersyk;
  • CVE-2019-10082 - in kwetsberens yn mod_http2 wêrtroch, op it momint fan beëiniging fan 'e ferbining, it lêzen fan ynhâld kin begjinne fan in al befrijd ûnthâldgebiet (lêzen-nei-fergees).

De meast opfallende net-feiligenswizigingen binne:

  • mod_proxy_balancer hat ferbettere beskerming tsjin XSS / XSRF oanfallen fan fertroude peers;
  • In SessionExpiryUpdateInterval-ynstelling is tafoege oan mod_session om it ynterval te bepalen foar it bywurkjen fan de sesje-/koekjesferfaltiid;
  • Siden mei flaters waarden skjinmakke, rjochte op it eliminearjen fan it werjaan fan ynformaasje fan oanfragen op dizze siden;
  • mod_http2 nimt rekken mei de wearde fan 'e parameter "LimitRequestFieldSize", dy't earder allinnich jildich wie foar it kontrolearjen fan HTTP/1.1-headerfjilden;
  • Soarget derfoar dat mod_proxy_hcheck konfiguraasje wurdt makke as brûkt yn BalancerMember;
  • Reduzearre ûnthâld konsumpsje yn mod_dav by it brûken fan de PROPFIND kommando op in grutte kolleksje;
  • Yn mod_proxy en mod_ssl binne problemen mei it opjaan fan sertifikaat- en SSL-ynstellingen binnen it Proxy-blok oplost;
  • mod_proxy kinne SSLProxyCheckPeer * ynstellings wurde tapast op alle proxy modules;
  • Module mooglikheden útwreide mod_md, ûntwikkele Litte wy projekt fersiferje om de ûntfangst en ûnderhâld fan sertifikaten te automatisearjen mei it ACME (Automatic Certificate Management Environment) protokol:
    • Twadde ferzje fan it protokol tafoege ACMEv2, dat is no de standert en brûkt lege POST-oanfragen ynstee fan GET.
    • Stipe tafoege foar ferifikaasje basearre op de TLS-ALPN-01-útwreiding (RFC 7301, Application-Layer Protocol Negotiation), dy't brûkt wurdt yn HTTP/2.
    • Stipe foar de 'tls-sni-01' ferifikaasjemetoade is stopset (fanwege kwetsberens).
    • Kommando's tafoege foar it ynstellen en brekken fan 'e kontrôle mei de metoade 'dns-01'.
    • Stipe tafoege maskers yn sertifikaten as DNS-basearre ferifikaasje is ynskeakele ('dns-01').
    • Implementearre 'md-status' handler en sertifikaatstatusside 'https://domain/.httpd/certificate-status'.
    • Tafoege "MDCertificateFile" en "MDCertificateKeyFile" rjochtlinen foar it konfigurearjen fan domein parameters fia statyske triemmen (sûnder auto-update stipe).
    • Tafoege "MDMessageCmd"-rjochtline om eksterne kommando's op te roppen as 'fernijd', 'ferrinnend' of 'flater' eveneminten foarkomme.
    • Tafoege "MDWarnWindow"-rjochtline om in warskôgingsberjocht te konfigurearjen oer it ferrinnen fan sertifikaat;

Boarne: opennet.ru

Add a comment