Apache 2.4.41 http-szerver kiadás, javítva a biztonsági réseket
közzétett az Apache HTTP szerver 2.4.41 kiadása (a 2.4.40 kiadás kimaradt), amely bevezette 23 változás és megszüntették 6 sebezhetőség:
CVE-2019 10081- egy probléma a mod_http2-ben, amely memóriasérüléshez vezethet, amikor push kéréseket küldenek nagyon korai szakaszban. A "H2PushResource" beállítás használatakor lehetséges a memória felülírása a kérésfeldolgozási készletben, de a probléma egy összeomlásra korlátozódik, mivel az írandó adatok nem az ügyféltől kapott információkon alapulnak;
CVE-2019 9517- - legutóbbi expozíció bejelentett DoS biztonsági rések a HTTP/2 implementációkban.
A támadó kimerítheti a folyamatok számára rendelkezésre álló memóriát, és nagy CPU-terhelést idézhet elő, ha megnyit egy csúszó HTTP/2-es ablakot a szerver számára, hogy korlátozások nélkül küldhessen adatokat, de a TCP-ablakot zárva tartva, megakadályozva az adatok tényleges kiírását a socketbe;
CVE-2019 10098- - egy probléma a mod_rewrite-ben, amely lehetővé teszi, hogy a szervert kérések továbbítására más erőforrásokhoz (nyílt átirányítás) használja. Egyes mod_rewrite beállítások azt eredményezhetik, hogy a felhasználó egy másik hivatkozásra kerül továbbításra, egy meglévő átirányításban használt paraméteren belüli újsor karakterrel kódolva. A RegexDefaultOptions programban lévő probléma blokkolásához használhatja a PCRE_DOTALL jelzőt, amely alapértelmezés szerint be van állítva;
CVE-2019 10092- - a mod_proxy által megjelenített hibaoldalakon webhelyek közötti parancsfájl végrehajtásának képessége. Ezeken az oldalakon a hivatkozás a kérésből kapott URL-t tartalmazza, amelybe a támadó tetszőleges HTML-kódot illeszthet be karakterkihagyással;
CVE-2019 10097- — verem túlcsordulás és NULL mutató hivatkozás a mod_remoteip-ben, a PROXY protokoll fejlécének manipulálásával kihasználva. A támadást csak a beállításokban használt proxy szerver oldaláról lehet végrehajtani, ügyfélkéréssel nem;
CVE-2019 10082- - a mod_http2 sérülékenysége, amely lehetővé teszi a kapcsolat megszakításakor a tartalom olvasásának kezdeményezését egy már felszabadult memóriaterületről (utána olvasás).
A legjelentősebb nem biztonsági változások a következők:
A mod_proxy_balancer javított védelmet kínál a megbízható partnerek XSS/XSRF támadásai ellen;
A SessionExpiryUpdateInterval beállítás hozzáadásra került a mod_sessionhoz, hogy meghatározza a munkamenet/cookie lejárati idejének frissítési időközét;
A hibás oldalakat megtisztították, hogy kiküszöböljék a kérésekből származó információk megjelenítését ezeken az oldalakon;
A mod_http2 figyelembe veszi a „LimitRequestFieldSize” paraméter értékét, amely korábban csak a HTTP/1.1 fejlécmezők ellenőrzésére volt érvényes;
Biztosítja a mod_proxy_hcheck konfiguráció létrehozását, amikor a BalancerMemberben használják;
Csökkentett memóriafelhasználás a mod_dav-ben, ha a PROPFIND parancsot nagy gyűjteményben használja;
A mod_proxy és mod_ssl esetén a tanúsítvány és az SSL beállítások megadásával kapcsolatos problémák a Proxy blokkon belül megoldódtak;
A mod_proxy lehetővé teszi az SSLProxyCheckPeer* beállítások alkalmazását az összes proxymodulra;
A modul képességei bővültek mod_md, fejlett Encrypt projekt a tanúsítványok fogadásának és karbantartásának automatizálására az ACME (Automatic Certificate Management Environment) protokoll használatával:
A protokoll második verziója hozzáadva ACMEv2, amely most az alapértelmezett és felhasznál üres POST kérések a GET helyett.
Hozzáadott támogatás a HTTP/01-ben használt TLS-ALPN-7301 kiterjesztésen (RFC 2, Application-Layer Protocol Negotiation) alapuló ellenőrzéshez.
A „tls-sni-01” ellenőrzési módszer támogatása megszűnt (a sebezhetőségek).
Hozzáadott parancsok az ellenőrzés beállításához és feloldásához a „dns-01” módszerrel.
Hozzáadott támogatás maszkok tanúsítványokban, ha a DNS-alapú ellenőrzés engedélyezve van ('dns-01').
Megvalósított „md-status” kezelő és „https://domain/.httpd/certificate-status” tanúsítványállapot-oldal.
Hozzáadott "MDCertificateFile" és "MDCertificateKeyFile" direktívák a tartományi paraméterek statikus fájlokon keresztül történő konfigurálásához (automatikus frissítés támogatása nélkül).
Hozzáadott "MDMessageCmd" direktíva a külső parancsok meghívásához, amikor "megújított", "lejáró" vagy "hibás" események fordulnak elő.
"MDWarnWindow" direktíva hozzáadva a tanúsítvány lejártával kapcsolatos figyelmeztető üzenet beállításához;