अपाचे 2.4.46 http सर्वर कमजोरियों के साथ जारी किया गया

प्रकाशित अपाचे HTTP सर्वर 2.4.46 की रिलीज़ (रिलीज़ 2.4.44 और 2.4.45 को छोड़ दिया गया), जो पेश किया गया 17 बदलता है और हटा दिया गया 3 कमजोरियाँ:

• CVE-2020-11984 - mod_proxy_uwsgi मॉड्यूल में एक बफर ओवरफ़्लो, जो विशेष रूप से तैयार किए गए अनुरोध भेजते समय सर्वर पर सूचना रिसाव या कोड निष्पादन का कारण बन सकता है। बहुत लंबा HTTP हेडर भेजकर भेद्यता का फायदा उठाया जाता है। सुरक्षा के लिए, 16K से अधिक लंबे हेडर को ब्लॉक करना जोड़ा गया है (प्रोटोकॉल विनिर्देश में परिभाषित एक सीमा)।
• CVE-2020-11993 - mod_http2 मॉड्यूल में एक भेद्यता जो विशेष रूप से डिज़ाइन किए गए HTTP/2 हेडर के साथ अनुरोध भेजते समय प्रक्रिया को क्रैश होने देती है। समस्या तब प्रकट होती है जब mod_http2 मॉड्यूल में डिबगिंग या ट्रेसिंग सक्षम होती है और लॉग में जानकारी सहेजते समय दौड़ की स्थिति के कारण मेमोरी सामग्री भ्रष्टाचार में परिलक्षित होती है। जब LogLevel को "जानकारी" पर सेट किया जाता है तो समस्या प्रकट नहीं होती है।
• CVE-2020-9490 - mod_http2 मॉड्यूल में एक भेद्यता जो विशेष रूप से डिज़ाइन किए गए 'कैश-डाइजेस्ट' हेडर मान के साथ HTTP/2 के माध्यम से अनुरोध भेजते समय एक प्रक्रिया को क्रैश होने की अनुमति देती है (किसी संसाधन पर HTTP/2 PUSH ऑपरेशन करने का प्रयास करते समय क्रैश होता है) . भेद्यता को रोकने के लिए, आप "H2Push off" सेटिंग का उपयोग कर सकते हैं।
• CVE-2020-11985 - mod_remoteip भेद्यता, जो आपको mod_remoteip और mod_rewrite का उपयोग करके प्रॉक्सी के दौरान IP पते को धोखा देने की अनुमति देती है। समस्या केवल 2.4.1 से 2.4.23 रिलीज़ के लिए दिखाई देती है।

सबसे उल्लेखनीय गैर-सुरक्षा परिवर्तन हैं:

• ड्राफ्ट विनिर्देश के लिए समर्थन mod_http2 से हटा दिया गया है काजुहो-एच2-कैश-डाइजेस्टजिनका प्रमोशन रोक दिया गया है.
• mod_http2 में "LimitRequestFields" निर्देश का व्यवहार बदल गया; 0 का मान निर्दिष्ट करने से अब सीमा अक्षम हो गई है।
• mod_http2 प्राथमिक और द्वितीयक (मास्टर/माध्यमिक) कनेक्शन का प्रसंस्करण और उपयोग के आधार पर विधियों का अंकन प्रदान करता है।
• यदि गलत अंतिम-संशोधित हेडर सामग्री एफसीजीआई/सीजीआई स्क्रिप्ट से प्राप्त होती है, तो यह हेडर अब यूनिक्स युग के समय में प्रतिस्थापित करने के बजाय हटा दिया गया है।
• सामग्री आकार को सख्ती से पार्स करने के लिए कोड में ap_parse_strict_length() फ़ंक्शन जोड़ा गया है।
• Mod_proxy_fcgi का ProxyFCGISetEnvIf यह सुनिश्चित करता है कि यदि दिया गया एक्सप्रेशन गलत लौटाता है तो पर्यावरण चर हटा दिए जाते हैं।
• SSLProxyMachineCertificateFile सेटिंग के माध्यम से निर्दिष्ट क्लाइंट प्रमाणपत्र का उपयोग करते समय दौड़ की स्थिति और संभावित mod_ssl क्रैश को ठीक किया गया।
• Mod_ssl में मेमोरी लीक को ठीक किया गया।
• mod_proxy_http2 प्रॉक्सी पैरामीटर का उपयोग प्रदान करता है "पिंग»बैकएंड पर नए या पुन: उपयोग किए गए कनेक्शन की कार्यक्षमता की जाँच करते समय।
• Mod_systemd सक्षम होने पर httpd को "-lsystemd" विकल्प के साथ बाइंड करना बंद कर दिया गया।
• mod_proxy_http2 सुनिश्चित करता है कि बैकएंड से कनेक्शन के माध्यम से आने वाले डेटा की प्रतीक्षा करते समय ProxyTimeout सेटिंग को ध्यान में रखा जाता है।

स्रोत: opennet.ru