ProHoster > Blag > nuacht idirlín > Scaoileadh freastalaí Apache 2.4.46 http le leochaileachtaí socraithe

Scaoileadh freastalaí Apache 2.4.46 http le leochaileachtaí socraithe

foilsithe scaoileadh freastalaí Apache HTTP 2.4.46 (scaipeadh scaoileadh 2.4.44 agus 2.4.45), a thug isteach 17 athrú agus a dhíchur 3 leochaileacht:

  • CVE-2020-11984 — ró-shreabhadh maoláin sa mhodúl mod_proxy_uwsgi, as a d’fhéadfadh sceitheadh ​​faisnéise nó cur i bhfeidhm cód a bheith mar thoradh ar an bhfreastalaí agus iarratas saindeartha á sheoladh. Baintear leas as an leochaileacht trí cheanntásc HTTP an-fhada a sheoladh. Ar mhaithe le cosaint, tá blocáil ceanntásca níos faide ná 16K curtha leis (teorainn a shainítear i sonraíocht an phrótacail).
  • CVE-2020-11993 — leochaileacht sa mhodúl mod_http2 a ligeann don phróiseas tuairteáil agus iarratas á sheoladh le ceanntásc HTTP/2 atá deartha go speisialta. Léirítear an fhadhb nuair a bhíonn dífhabhtaithe nó rianú cumasaithe sa mhodúl mod_http2 agus léirítear é i éilliú ábhar cuimhne mar gheall ar riocht cine nuair a bhíonn faisnéis á sábháil don loga. Ní thagann an fhadhb le feiceáil nuair atá LogLevel socraithe go “info”.
  • CVE-2020-9490 — leochaileacht sa mhodúl mod_http2 a ligeann do phróiseas tuairteála nuair a sheoltar iarratas trí HTTP/2 le luach ceanntásc ‘Cache-Digest’ atá saindeartha (tarlaíonn an timpiste agus iarracht á déanamh oibríocht HTTP/2 PUSH a dhéanamh ar acmhainn) . Chun an leochaileacht a chosc, is féidir leat an socrú “H2Push off” a úsáid.
  • CVE-2020-11985 — leochaileacht mod_remoteip, a ligeann duit seoltaí IP a spoof le linn seachfhreastalaí ag baint úsáide as mod_remoteip agus mod_rewrite. Ní thagann an fhadhb ach le heisiúintí 2.4.1 go 2.4.23.

Is iad na hathruithe neamhshlándála is suntasaí ná:

  • Baineadh tacaíocht don dréacht-sonraíocht de mod_http2 kazuho-h2-cache-digest, a bhfuil a ardú céime stoptha.
  • D'athraigh iompar na treorach "LimitRequestFields" i mod_http2; díchumasaítear an teorainn anois nuair a shonraítear luach 0.
  • Soláthraíonn mod_http2 naisc phríomhúla agus tánaisteacha (máistir / tánaisteach) a phróiseáil agus modhanna a mharcáil ag brath ar úsáid.
  • Má fhaightear inneachar mícheart ceanntásc ar Athraíodh a Dhéanamh ó script FCGI/CGI, baintear an ceanntásc seo anois seachas é a ionadú in am aga Unix.
  • Cuireadh an fheidhm ap_parse_strict_length() leis an gcód chun méid an ábhair a pharsáil go docht.
  • Cinntíonn ProxyFCGISetEnvIf Mod_proxy_fcgi go mbaintear athróga timpeallachta má fhilleann an slonn a thugtar Bréagach.
  • Coinníoll cine socraithe agus timpiste mod_ssl a d’fhéadfadh a bheith ann nuair a bhí teastas cliant sonraithe tríd an socrú SSLProxyMachineCertificateFile in úsáid.
  • Sceitheadh ​​cuimhne seasta i mod_ssl.
  • Soláthraíonn mod_proxy_http2 úsáid an pharaiméadar seachfhreastalaí "ping» agus feidhmiúlacht nasc nua nó naisc athúsáidte leis an inneall á sheiceáil.
  • Stopadh ceangailteach httpd leis an rogha "-lsystemd" nuair atá mod_systemd cumasaithe.
  • Cinntíonn mod_proxy_http2 go gcuirtear an socrú ProxyTimeout san áireamh agus tú ag fanacht le sonraí a thagann isteach trí naisc leis an inneall.

Foinse: oscailtenet.ru

Ceannaigh óstáil iontaofa do shuímh le cosaint DDoS, freastalaithe VPS VDS 🔥 Ceannaigh óstáil gréasáin iontaofa le cosaint DDoS, freastalaithe VPS VDS | ProHoster