Izdanje http poslužitelja Apache 2.4.41 s popravljenim ranjivostima
Objavljeno izdanje Apache HTTP poslužitelja 2.4.41 (izdanje 2.4.40 je preskočeno), koji je uveo 23 promjene i eliminiran 6 ranjivosti:
CVE-2019-10081 je problem u mod_http2 koji može dovesti do oštećenja memorije prilikom slanja push zahtjeva u vrlo ranoj fazi. Kada koristite postavku "H2PushResource", moguće je prebrisati memoriju u spremištu za obradu zahtjeva, ali problem je ograničen na pad jer se podaci koji se zapisuju ne temelje na informacijama primljenim od klijenta;
CVE-2019-9517 - nedavno izlaganje najavio DoS ranjivosti u HTTP/2 implementacijama.
Napadač može iscrpiti memoriju dostupnu procesu i stvoriti veliko opterećenje CPU-a otvaranjem kliznog HTTP/2 prozora kako bi poslužitelj slao podatke bez ograničenja, ali držeći TCP prozor zatvorenim, sprječavajući da se podaci stvarno zapisuju u utičnicu;
CVE-2019-10098 - problem u mod_rewrite, koji vam omogućuje korištenje poslužitelja za prosljeđivanje zahtjeva drugim resursima (otvoreno preusmjeravanje). Neke postavke mod_rewrite mogu dovesti do toga da korisnik bude proslijeđen na drugu vezu, kodiranu korištenjem znaka novog retka unutar parametra koji se koristi u postojećem preusmjeravanju. Kako biste blokirali problem u RegexDefaultOptions, možete koristiti oznaku PCRE_DOTALL, koja je sada postavljena prema zadanim postavkama;
CVE-2019-10092 - mogućnost izvođenja skriptiranja između stranica na stranicama s pogreškama koje prikazuje mod_proxy. Na tim stranicama poveznica sadrži URL dobiven iz zahtjeva, u koji napadač može umetnuti proizvoljan HTML kod putem izbjegavanja znakova;
CVE-2019-10097 — preljev stoga i dereferencija NULL pokazivača u mod_remoteip, iskorištena kroz manipulaciju zaglavlja PROXY protokola. Napad se može izvesti samo sa strane proxy poslužitelja koji se koristi u postavkama, a ne putem zahtjeva klijenta;
CVE-2019-10082 - ranjivost u mod_http2 koja omogućuje, u trenutku prekida veze, pokretanje čitanja sadržaja iz već oslobođenog memorijskog područja (read-after-free).
Najznačajnije nesigurnosne promjene:
mod_proxy_balancer ima poboljšanu zaštitu od XSS/XSRF napada od pouzdanih peerova;
Postavka SessionExpiryUpdateInterval dodana je u mod_session za određivanje intervala za ažuriranje vremena isteka sesije/kolačića;
Stranice s pogreškama su očišćene, s ciljem eliminiranja prikaza informacija iz zahtjeva na tim stranicama;
mod_http2 uzima u obzir vrijednost parametra “LimitRequestFieldSize”, koji je prije bio valjan samo za provjeru HTTP/1.1 polja zaglavlja;
Osigurava kreiranje konfiguracije mod_proxy_hcheck kada se koristi u BalancerMemberu;
Smanjena potrošnja memorije u mod_dav pri korištenju naredbe PROPFIND na velikoj kolekciji;
U mod_proxy i mod_ssl problemi s određivanjem postavki certifikata i SSL-a unutar Proxy bloka su riješeni;
mod_proxy omogućuje primjenu SSLProxyCheckPeer* postavki na sve proxy module;
Mogućnosti modula proširene mod_md, razvijena Projekt Let's Encrypt za automatizaciju primanja i održavanja certifikata pomoću ACME (Automatic Certificate Management Environment) protokola:
Dodana druga verzija protokola ACMEv2, što je sada zadano i koristi prazni POST zahtjevi umjesto GET.
Dodana podrška za provjeru na temelju TLS-ALPN-01 ekstenzije (RFC 7301, Application-Layer Protocol Negotiation), koja se koristi u HTTP/2.
Podrška za metodu provjere 'tl-sni-01' je prekinuta (zbog ranjivosti).
Dodane naredbe za postavljanje i razbijanje provjere metodom 'dns-01'.
Dodana podrška maske u certifikatima kada je omogućena provjera temeljena na DNS-u ('dns-01').
Implementiran rukovatelj 'md-status' i stranica statusa certifikata 'https://domain/.httpd/certificate-status'.
Dodane su direktive "MDCertificateFile" i "MDCertificateKeyFile" za konfiguriranje parametara domene putem statičkih datoteka (bez podrške za automatsko ažuriranje).
Dodana je direktiva "MDMessageCmd" za pozivanje vanjskih naredbi kada se dogode događaji 'obnovljeno', 'isteklo' ili 'pogreška'.
Dodana direktiva "MDWarnWindow" za konfiguriranje poruke upozorenja o isteku certifikata;