ProHoster > Blag > nuacht idirlín > Scaoileadh freastalaí Apache 2.4.41 http le leochaileachtaí socraithe

Scaoileadh freastalaí Apache 2.4.41 http le leochaileachtaí socraithe

foilsithe scaoileadh an fhreastalaí Apache HTTP 2.4.41 (scaipeadh scaoileadh 2.4.40), a thug isteach 23 athrú agus a dhíchur 6 leochaileachtaí:

  • CVE-2019-10081 Is saincheist i mod_http2 í a d’fhéadfadh éilliú cuimhne a bheith mar thoradh air agus iarratais bhrú á seoladh ag céim an-luath. Agus an socrú "H2PushResource" á úsáid agat, is féidir cuimhne a fhorscríobh sa chomhthiomsú próiseála iarratais, ach tá an fhadhb teoranta do thimpiste toisc nach bhfuil na sonraí atá á scríobh bunaithe ar fhaisnéis a fuarthas ón gcliant;
  • CVE-2019-9517 - nochtadh le déanaí D'fhógair Leochaileachtaí DoS i bhfeidhmithe HTTP/2.
    Is féidir le hionsaitheoir an chuimhne atá ar fáil do phróiseas a sceite agus ualach trom LAP a chruthú trí fhuinneog sleamhnáin HTTP/2 a oscailt don fhreastalaí chun sonraí a sheoladh gan srianta, ach an fhuinneog TCP a choinneáil dúnta, rud a choscann sonraí a scríobh chuig an soicéad;
  • CVE-2019-10098 - fadhb i mod_rewrite, a ligeann duit an freastalaí a úsáid chun iarratais a chur ar aghaidh chuig acmhainní eile (atreorú oscailte). D'fhéadfadh go gcuirfí an t-úsáideoir ar aghaidh chuig nasc eile mar thoradh ar roinnt socruithe mod_rewrite, ionchódaithe ag baint úsáide as carachtar nualíne laistigh de pharaiméadar a úsáidtear in atreorú atá ann cheana féin. Chun an fhadhb a bhlocáil i RegexDefaultOptions, is féidir leat an bhratach PCRE_DOTALL a úsáid, atá socraithe anois de réir réamhshocraithe;
  • CVE-2019-10092 - an cumas scriptiú tras-láithreáin a dhéanamh ar leathanaigh earráide a thaispeánann mod_proxy. Ar na leathanaigh seo, tá an URL a fuarthas ón iarratas ar an nasc, inar féidir le hionsaitheoir cód HTML treallach a chur isteach trí charachtar éalú;
  • CVE-2019-10097 — ró-shreabhadh cruachta agus díléiriú pointeoir NULLComment sa mod_remoteip, a shaothraítear trí cheanntásc an phrótacail PROXY a ionramháil. Ní féidir an t-ionsaí a dhéanamh ach ó thaobh an seachfhreastalaí a úsáidtear sna socruithe, agus ní trí iarratas cliant;
  • CVE-2019-10082 - leochaileacht i mod_http2 a cheadaíonn, tráth foirceanta an naisc, tús a chur le léamh na n-ábhar ó limistéar cuimhne atá saor cheana (saor in aisce léite).

Is iad na hathruithe neamhshlándála is suntasaí ná:

  • tá cosaint fheabhsaithe ag mod_proxy_balancer i gcoinne ionsaithe XSS/XSRF ó phiaraí iontaofa;
  • Tá socrú SessionExpiryUpdateInterval curtha le mod_session chun an t-eatramh a chinneadh chun am éaga an tseisiúin/fianáin a nuashonrú;
  • Glanadh leathanaigh le hearráidí, dírithe ar dheireadh a chur le taispeáint faisnéise ó iarratais ar na leathanaigh seo;
  • cuireann mod_http2 luach an pharaiméadar “LimitRequestFieldSize” san áireamh, nach raibh bailí roimhe seo ach chun réimsí ceanntásc HTTP/1.1 a sheiceáil;
  • Cinntíonn sé go gcruthaítear cumraíocht mod_proxy_hcheck nuair a úsáidtear é i BalancerMember;
  • Ídiú cuimhne laghdaithe i mod_dav agus an t-ordú PROPFIND á úsáid ar bhailiúchán mór;
  • I mod_proxy agus mod_ssl, réitíodh fadhbanna le socruithe deimhnithe agus SSL a shonrú taobh istigh den bhloc Seachfhreastalaí;
  • ceadaíonn mod_proxy socruithe SSLProxyCheckPeer* a chur i bhfeidhm ar gach modúl seachfhreastalaí;
  • Cumais mhodúil méadaithe mod_md, forbartha Tionscadal Let's Encrypt chun fáil agus cothabháil deimhnithe a uathoibriú trí úsáid a bhaint as prótacal ACME (Timpeallacht Bainistíochta Teastas Uathoibríoch):
    • Cuireadh an dara leagan den phrótacal leis ACMev2, atá anois mar an réamhshocrú agus úsáidí iarratais POST folamh in ionad GET.
    • Tacaíocht bhreise le haghaidh fíoraithe bunaithe ar an síneadh TLS-ALPN-01 (RFC 7301, Idirbheartaíocht Prótacail Ciseal Feidhmchláir), a úsáidtear in HTTP/2.
    • Cuireadh deireadh leis an tacaíocht don mhodh fíoraithe ‘tls-sni-01’ (de bharr leochaileachtaí).
    • Orduithe breise chun an tseic a shocrú agus a bhriseadh ag baint úsáide as an modh 'dns-01'.
    • Tacaíocht curtha leis maisc i ndeimhnithe nuair atá fíorú DNS-bhunaithe cumasaithe ('dns-01').
    • Láimhseálaí 'md-status' curtha i bhfeidhm agus leathanach stádais teastais 'https://domain/.httpd/certificate-status'.
    • Cuireadh treoracha “MDCertificateFile” agus “MDCertificateKeyFile” leis chun paraiméadair fearainn a chumrú trí chomhaid statacha (gan tacaíocht uath-nuashonraithe).
    • Cuireadh treoir "MDMessageCmd" leis chun orduithe seachtracha a ghlaoch nuair a tharlaíonn teagmhais 'athnuaite', 'ag dul in éag' nó 'earráidithe'.
    • Cuireadh treoir "MDWarnWindow" leis chun teachtaireacht rabhaidh a chumrú faoi dhul in éag teastais;

Foinse: oscailtenet.ru

Add a comment