ProHoster > Blog > noticias de internet > Versión do servidor http Apache 2.4.41 con vulnerabilidades corrixidas

Versión do servidor http Apache 2.4.41 con vulnerabilidades corrixidas

publicado versión do servidor HTTP Apache 2.4.41 (omitiuse a versión 2.4.40), que introduciu 23 cambios e eliminado 6 vulnerabilidades:

  • CVE-2019-10081 é un problema en mod_http2 que pode provocar a corrupción da memoria cando se envían solicitudes push nunha fase moi temperá. Cando se utiliza a configuración "H2PushResource", é posible sobrescribir a memoria no grupo de procesamento de solicitudes, pero o problema limítase a un fallo porque os datos que se escriben non se basean na información recibida do cliente;
  • CVE-2019-9517 - exposición recente anunciado Vulnerabilidades de DoS en implementacións HTTP/2.
    Un atacante pode esgotar a memoria dispoñible para un proceso e crear unha gran carga de CPU abrindo unha xanela HTTP/2 deslizante para que o servidor envíe datos sen restricións, pero mantendo a xanela TCP pechada, evitando que os datos se escriban realmente no socket;

  • CVE-2019-10098 - un problema en mod_rewrite, que lle permite utilizar o servidor para reenviar solicitudes a outros recursos (redirección aberta). Algunhas opcións de configuración de mod_rewrite poden provocar que o usuario sexa reenviado a outra ligazón, codificada mediante un carácter de nova liña dentro dun parámetro utilizado nunha redirección existente. Para bloquear o problema en RegexDefaultOptions, pode usar a marca PCRE_DOTALL, que agora está configurada por defecto;
  • CVE-2019-10092 - a capacidade de realizar scripts entre sitios en páxinas de erro mostradas por mod_proxy. Nestas páxinas, a ligazón contén o URL obtido da solicitude, no que un atacante pode inserir código HTML arbitrario mediante escape de caracteres;
  • CVE-2019-10097 — Desbordamento de pila e desreferencia do punteiro NULL en mod_remoteip, explotados mediante a manipulación da cabeceira do protocolo PROXY. O ataque só se pode levar a cabo dende o lado do servidor proxy utilizado na configuración, e non a través dunha solicitude do cliente;
  • CVE-2019-10082 - unha vulnerabilidade en mod_http2 que permite, no momento da terminación da conexión, iniciar a lectura de contidos desde unha área de memoria xa liberada (read-after-free).

Os cambios non relacionados coa seguridade máis salientables son:

  • mod_proxy_balancer mellorou a protección contra ataques XSS/XSRF de pares de confianza;
  • Engadiuse unha configuración SessionExpiryUpdateInterval a mod_session para determinar o intervalo para actualizar o tempo de caducidade da sesión/cookie;
  • Limpáronse páxinas con erros, co obxectivo de eliminar a visualización de información das solicitudes destas páxinas;
  • mod_http2 ten en conta o valor do parámetro "LimitRequestFieldSize", que antes só era válido para comprobar os campos de cabeceira HTTP/1.1;
  • Asegura que a configuración mod_proxy_hcheck se crea cando se usa en BalancerMember;
  • Consumo de memoria reducido en mod_dav ao usar o comando PROPFIND nunha colección grande;
  • En mod_proxy e mod_ssl, resolvéronse os problemas coa especificación da configuración do certificado e SSL dentro do bloque Proxy;
  • mod_proxy permite que a configuración de SSLProxyCheckPeer* se aplique a todos os módulos proxy;
  • Ampliáronse as capacidades do módulo mod_md, desenvolvido Proxecto Let's Encrypt para automatizar a recepción e mantemento de certificados mediante o protocolo ACME (Automatic Certificate Management Environment):
    • Engadida a segunda versión do protocolo ACMEv2, que agora é o predeterminado e usos solicitudes POST baleiras en lugar de GET.
    • Engadiuse compatibilidade para a verificación baseada na extensión TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), que se usa en HTTP/2.
    • O soporte para o método de verificación "tls-sni-01" foi descontinuado (debido a vulnerabilidades).
    • Engadíronse comandos para configurar e romper a comprobación mediante o método 'dns-01'.
    • Soporte engadido máscaras nos certificados cando a verificación baseada en DNS está activada ('dns-01').
    • Implementáronse o controlador "md-status" e a páxina de estado do certificado "https://domain/.httpd/certificate-status".
    • Engadíronse as directivas "MDCertificateFile" e "MDCertificateKeyFile" para configurar os parámetros do dominio a través de ficheiros estáticos (sen soporte de actualización automática).
    • Engadiuse a directiva "MDMessageCmd" para chamar comandos externos cando se producen eventos de "renovación", "caducidade" ou "erro".
    • Engadiuse a directiva "MDWarnWindow" para configurar unha mensaxe de aviso sobre a caducidade do certificado;

Fonte: opennet.ru

Engadir un comentario