ProHoster > Blog > naidheachdan eadar-lìn > Sgaoileadh frithealaiche Apache 2.4.41 http le so-leòntachd stèidhichte

Sgaoileadh frithealaiche Apache 2.4.41 http le so-leòntachd stèidhichte

foillsichte sgaoileadh an fhrithealaiche Apache HTTP 2.4.41 (chaidh leigeil ma sgaoil 2.4.40), a thug a-steach 23 atharrachadh agus air an cur air falbh 6 so-leòntachd:

  • CVE-2019-10081 na chùis ann am mod_http2 a dh’ fhaodadh truailleadh cuimhne adhbhrachadh nuair a thathar a’ cur iarrtasan putaidh aig ìre glè thràth. Nuair a bhios tu a’ cleachdadh an t-suidheachaidh “H2PushResource”, tha e comasach cuimhne ath-sgrìobhadh anns an amar giullachd iarrtasan, ach tha an duilgheadas cuingealaichte ri tubaist leis nach eil an dàta a thathar a’ sgrìobhadh stèidhichte air fiosrachadh a fhuaireadh bhon neach-dèiligidh;
  • CVE-2019-9517 - fhoillseachadh o chionn ghoirid ainmeachadh So-leòntachd DoS ann am buileachadh HTTP/2.
    Faodaidh neach-ionnsaigh an cuimhne a tha ri fhaighinn do phròiseas a chuir a-mach agus eallach trom CPU a chruthachadh le bhith a’ fosgladh uinneag sleamhnachaidh HTTP/2 airson an fhrithealaiche dàta a chuir gun chuingealachaidhean, ach a’ cumail an uinneag TCP dùinte, a’ cur casg air dàta a bhith air a sgrìobhadh chun t-socaid;

  • CVE-2019-10098 - duilgheadas ann am mod_rewrite, a leigeas leat am frithealaiche a chleachdadh gus iarrtasan a chuir air adhart gu goireasan eile (ath-stiùireadh fosgailte). Dh’ fhaodadh gun toir cuid de shuidheachaidhean mod_rewrite an neach-cleachdaidh air adhart gu ceangal eile, air a chòdachadh a’ cleachdadh caractar loidhne ùr taobh a-staigh paramadair a chaidh a chleachdadh ann an ath-sheòladh gnàthaichte. Gus an duilgheadas ann an RegexDefaultOptions a bhacadh, faodaidh tu am bratach PCRE_DOTALL a chleachdadh, a tha a-nis air a shuidheachadh gu bunaiteach;
  • CVE-2019-10092 - an comas sgrìobhadh thar-làraich a dhèanamh air duilleagan mearachd air an taisbeanadh le mod_proxy. Air na duilleagan seo, tha an URL a fhuaireadh bhon iarrtas anns a’ cheangal, anns am faod neach-ionnsaigh còd HTML neo-riaghailteach a chuir a-steach tro theicheadh ​​​​caractar;
  • CVE-2019-10097 - stac thar-shruth agus iomradh puing NULL ann am mod_remoteip, air a chleachdadh tro bhith a’ làimhseachadh bann-cinn protocol PROXY. Chan urrainnear an ionnsaigh a dhèanamh ach bho thaobh an fhrithealaiche progsaidh a thathar a’ cleachdadh anns na roghainnean, agus chan ann tro iarrtas teachdaiche;
  • CVE-2019-10082 - so-leòntachd ann am mod_http2 a leigeas, aig an àm a thig an ceangal gu crìch, leughadh susbaint a thòiseachadh bho raon cuimhne a chaidh a shaoradh mar-thà (leugh às deidh an-asgaidh).

Na h-atharrachaidhean neo-tèarainteachd as ainmeil:

  • mod_proxy_balancer air dìon nas fheàrr an aghaidh ionnsaighean XSS/XSRF bho cho-aoisean earbsach;
  • Chaidh suidheachadh SessionExpiryUpdateInterval a chur ri mod_session gus faighinn a-mach an eadar-ama airson ùine crìochnachaidh an t-seisein/briosgaid ùrachadh;
  • Chaidh duilleagan le mearachdan a ghlanadh, ag amas air cuir às do thaisbeanadh fiosrachaidh bho iarrtasan air na duilleagan seo;
  • Tha mod_http2 a’ toirt aire do luach a’ pharamadair “LimitRequestFieldSize”, a bha roimhe seo dìreach dligheach airson a bhith a’ sgrùdadh raointean cinn HTTP/1.1;
  • A’ dèanamh cinnteach gu bheil rèiteachadh mod_proxy_hcheck air a chruthachadh nuair a thèid a chleachdadh ann an BalancerMember;
  • Lùghdachadh air caitheamh cuimhne ann am mod_dav nuair a bhios tu a’ cleachdadh an àithne PROPFIND air cruinneachadh mòr;
  • Ann am mod_proxy agus mod_ssl, chaidh duilgheadasan le bhith a’ sònrachadh roghainnean teisteanais is SSL taobh a-staigh a’ bhloc Proxy a rèiteach;
  • tha mod_proxy a’ ceadachadh roghainnean SSLProxyCheckPeer* a chuir an sàs anns a h-uile modal progsaidh;
  • Leudaich comasan modal modh_md, leasaichte Pròiseact Let's Encrypt gus faighinn agus cumail suas theisteanasan gu fèin-ghluasadach a’ cleachdadh protocol ACME (Àrainneachd Riaghladh Teisteanas fèin-ghluasadach):
    • Chaidh an dàrna dreach den phròtacal a chur ris ACMEv2, a tha a-nis mar an àbhaist agus cleachdaidhean iarrtasan POST falamh an àite GET.
    • Taic a bharrachd airson dearbhadh stèidhichte air an leudachadh TLS-ALPN-01 (RFC 7301, Iarrtas-Layer Protocol Negotiation), a thathas a’ cleachdadh ann an HTTP/2.
    • Chaidh stad a chuir air taic don dòigh dearbhaidh ‘tls-sni-01’ (air sgàth so-leòntachd).
    • Òrdughan a bharrachd airson an t-seic a stèidheachadh agus a bhriseadh a’ cleachdadh an dòigh ‘dns-01’.
    • Taic air a chur ris masgaichean ann an teisteanasan nuair a tha dearbhadh stèidhichte air DNS air a chomasachadh ('dns-01').
    • Làimhseachadh 'md-status' air a chur an gnìomh agus duilleag inbhe teisteanais 'https://domain/.httpd/certificate-status'.
    • Chaidh stiùiridhean “MDCertificateFile” agus “MDCertificateKeyFile” a chur ris airson paramadairean fearainn a rèiteachadh tro fhaidhlichean statach (às aonais taic ùrachadh fèin-ghluasadach).
    • Chaidh stiùireadh “MDMessageCmd” a chuir ris gus òrdughan taobh a-muigh a ghairm nuair a thachras tachartasan ‘ath-nuadhaichte’, ‘tighinn gu crìch’ no ‘mearachd’.
    • Chaidh stiùireadh “MDWarnWindow” a chur ris gus teachdaireachd rabhaidh a rèiteachadh mu dheireadh an teisteanais;

Source: fosgailtenet.ru

Cuir beachd ann