ProHoster > Blog > nouvèl sou entènèt > Apache 2.4.46 http sèvè lage ak vilnerabilite fiks

Apache 2.4.46 http sèvè lage ak vilnerabilite fiks

pibliye lage nan sèvè Apache HTTP 2.4.46 (degaje 2.4.44 ak 2.4.45 yo te sote), ki te prezante 17 chanjman epi elimine 3 vilnerabilite:

  • CVE-2020-11984 — yon debòde tanpon nan mod_proxy_uwsgi modil la, ki ka mennen nan flit enfòmasyon oswa ekzekisyon kòd sou sèvè a lè w ap voye yon demann espesyalman fabrike. Se vilnerabilite a eksplwate lè w voye yon header HTTP trè long. Pou pwoteksyon, bloke headers ki pi long pase 16K te ajoute (yon limit defini nan spesifikasyon pwotokòl la).
  • CVE-2020-11993 — yon vilnerabilite nan mod_http2 modil la ki pèmèt pwosesis la aksidan lè w ap voye yon demann ak yon header HTTP/2 ki fèt espesyalman. Pwoblèm nan manifeste tèt li lè debogaj oswa trase pèmèt nan mod_http2 modil la ak rezilta nan koripsyon memwa akòz yon kondisyon ras lè ekonomize enfòmasyon nan boutèy la. Pwoblèm lan pa parèt lè LogLevel mete sou "info".
  • CVE-2020-9490 — yon vilnerabilite nan mod_http2 modil la ki pèmèt yon pwosesis aksidan lè w ap voye yon demann atravè HTTP/2 ak yon valè header 'Cache-Digest' ki fèt espesyalman (aksidan an rive lè w ap eseye fè yon operasyon HTTP/2 PUSH sou yon resous) . Pou bloke vilnerabilite a, ou ka itilize anviwònman "H2Push off".
  • CVE-2020-11985 — vilnerabilite mod_remoteip, ki pèmèt ou spoof adrès IP pandan proxy lè l sèvi avèk mod_remoteip ak mod_rewrite. Pwoblèm nan parèt sèlman pou degaje 2.4.1 a 2.4.23.

Chanjman ki pi remakab ki pa sekirite yo se:

  • Sipò pou spesifikasyon bouyon yo te retire nan mod_http2 kazuho-h2-kachèt-dijere, ki gen pwomosyon yo te sispann.
  • Chanje konpòtman an nan "LimitRequestFields" direktiv nan mod_http2 espesifye yon valè 0 kounye a enfim limit la.
  • mod_http2 bay pwosesis koneksyon prensipal ak segondè (mèt/segondè) ak make metòd depann sou itilizasyon.
  • Si yo resevwa kontni tèt ki pa kòrèk Dènye Modifye nan men yon script FCGI/CGI, yo retire tèt sa a kounye a olye yo ranplase l nan epòk Unix.
  • Yo te ajoute fonksyon ap_parse_strict_length() nan kòd la pou analize gwosè kontni an.
  • Mod_proxy_fcgi a ProxyFCGISetEnvIf asire ke varyab anviwònman yo retire si ekspresyon yo bay la retounen Fo.
  • Fikse yon kondisyon ras ak posib aksidan mod_ssl lè w ap itilize yon sètifika kliyan espesifye atravè anviwònman SSLProxyMachineCertificateFile.
  • Fiks memwa fuit nan mod_ssl.
  • mod_proxy_http2 bay itilizasyon paramèt prokurasyon an "Ping» lè w ap tcheke fonksyonalite yon nouvo koneksyon oswa yon nouvo koneksyon ak backend la.
  • Sispann mare httpd ak opsyon "-lsystemd" lè mod_systemd aktive.
  • mod_proxy_http2 asire ke anviwònman an ProxyTimeout pran an kont lè w ap tann pou done fèk ap rantre atravè koneksyon ak backend la.

Sous: opennet.ru

Add nouvo kòmantè