ProHoster > Blog > internetske vijesti > Izdanje http poslužitelja Apache 2.4.46 s popravljenim ranjivostima

Izdanje http poslužitelja Apache 2.4.46 s popravljenim ranjivostima

Objavljeno izdanje Apache HTTP poslužitelja 2.4.46 (izdanja 2.4.44 i 2.4.45 su preskočena), koji je uveo 17 promjena i eliminiran 3 ranjivosti:

  • CVE-2020-11984 — prekoračenje međuspremnika u modulu mod_proxy_uwsgi, što može dovesti do curenja informacija ili izvršenja koda na poslužitelju prilikom slanja posebno izrađenog zahtjeva. Ranjivost se iskorištava slanjem vrlo dugog HTTP zaglavlja. Za zaštitu je dodano blokiranje zaglavlja duljih od 16K (ograničenje definirano u specifikaciji protokola).
  • CVE-2020-11993 — ranjivost u modulu mod_http2 koja omogućuje pad procesa prilikom slanja zahtjeva s posebno dizajniranim HTTP/2 zaglavljem. Problem se očituje kada je otklanjanje pogrešaka ili praćenje omogućeno u modulu mod_http2 i rezultira oštećenjem memorije zbog stanja utrke prilikom spremanja informacija u dnevnik. Problem se ne pojavljuje kada je LogLevel postavljen na “info”.
  • CVE-2020-9490 — ranjivost u modulu mod_http2 koja dopušta rušenje procesa prilikom slanja zahtjeva putem HTTP/2 s posebno dizajniranom vrijednošću zaglavlja 'Cache-Digest' (do rušenja dolazi kada se pokušava izvršiti HTTP/2 PUSH operacija na resursu) . Kako biste blokirali ranjivost, možete upotrijebiti postavku "H2Push off".
  • CVE-2020-11985 — ranjivost mod_remoteip, koja vam omogućuje lažiranje IP adresa tijekom proxyja koristeći mod_remoteip i mod_rewrite. Problem se pojavljuje samo za izdanja 2.4.1 do 2.4.23.

Najznačajnije nesigurnosne promjene:

  • Podrška za nacrt specifikacije je uklonjena iz mod_http2 kazuho-h2-cache-digest, čija je promocija zaustavljena.
  • Promijenjeno je ponašanje direktive "LimitRequestFields" u mod_http2; navođenje vrijednosti 0 sada onemogućuje ograničenje.
  • mod_http2 omogućuje obradu primarnih i sekundarnih (master/secondary) veza i označavanje metoda ovisno o upotrebi.
  • Ako se iz FCGI/CGI skripte primi netočan sadržaj zaglavlja Last-Modified, ovo se zaglavlje sada uklanja umjesto da se zamjenjuje u Unix vremenu epohe.
  • Funkcija ap_parse_strict_length() dodana je kodu za striktno analiziranje veličine sadržaja.
  • Mod_proxy_fcgi's ProxyFCGISetEnvIf osigurava da se varijable okoline uklone ako dani izraz vrati False.
  • Popravljeno stanje utrke i moguće rušenje mod_ssl-a pri korištenju klijentskog certifikata navedenog putem postavke SSLProxyMachineCertificateFile.
  • Popravljeno curenje memorije u mod_ssl.
  • mod_proxy_http2 omogućuje korištenje proxy parametra "ping» prilikom provjere funkcionalnosti nove ili ponovno korištene veze s pozadinom.
  • Zaustavljeno vezanje httpd s opcijom "-lsystemd" kada je mod_systemd omogućen.
  • mod_proxy_http2 osigurava da se postavka ProxyTimeout uzima u obzir kada se čekaju dolazni podaci putem veza s pozadinom.

Izvor: opennet.ru

Dodajte komentar