Apache 2.4.41 http սերվերի թողարկում՝ շտկված խոցելիությամբ

հրապարակված Apache HTTP սերվերի թողարկում 2.4.41 (թողարկումը բաց է թողնվել), որը ներկայացրեց 23 փոփոխություն և վերացվել 6 խոցելիություն:

• CVE-2019-10081- ը mod_http2-ի խնդիր է, որը կարող է հանգեցնել հիշողության խաթարման՝ շատ վաղ փուլում push հարցումներ ուղարկելիս: «H2PushResource» պարամետրն օգտագործելիս հնարավոր է հիշողությունը վերագրանցել հարցումների մշակման լողավազանում, սակայն խնդիրը սահմանափակվում է խափանումով, քանի որ գրվող տվյալները չեն հիմնված հաճախորդից ստացված տեղեկատվության վրա.
• CVE-2019-9517- ը - վերջին բացահայտումը հայտարարեց DoS խոցելիություններ HTTP/2 ներդրումներում.
  Հարձակվողը կարող է սպառել գործընթացին հասանելի հիշողությունը և ստեղծել պրոցեսորի մեծ բեռ՝ բացելով լոգարիթմական HTTP/2 պատուհան, որպեսզի սերվերը ուղարկի տվյալներ առանց սահմանափակումների, բայց փակ պահելով TCP պատուհանը՝ կանխելով տվյալների փաստացի գրումը վարդակից:

• CVE-2019-10098- ը - խնդիր mod_rewrite-ում, որը թույլ է տալիս օգտագործել սերվերը՝ հարցումները այլ ռեսուրսներին փոխանցելու համար (բաց վերահղում): Որոշ mod_rewrite կարգավորումներ կարող են հանգեցնել այն բանին, որ օգտվողը վերահասցեավորվի մեկ այլ հղում, որը կոդավորված է նոր տողի նիշի միջոցով, որն օգտագործվում է գոյություն ունեցող վերահղման մեջ օգտագործվող պարամետրում: RegexDefaultOptions-ում խնդիրը արգելափակելու համար կարող եք օգտագործել PCRE_DOTALL դրոշը, որն այժմ սահմանված է լռելյայն.
• CVE-2019-10092- ը - mod_proxy-ի կողմից ցուցադրվող սխալների էջերում խաչմերուկային սցենարներ կատարելու ունակություն: Այս էջերում հղումը պարունակում է հարցումից ստացված URL-ը, որում հարձակվողը կարող է կամայական HTML կոդ տեղադրել՝ նիշերի փախչման միջոցով.
• CVE-2019-10097- ը — stack overflow և NULL ցուցիչի անջատում mod_remoteip-ում, որը շահագործվում է PROXY արձանագրության վերնագրի մանիպուլյացիայի միջոցով: Հարձակումը կարող է իրականացվել միայն կարգավորումներում օգտագործվող պրոքսի սերվերի կողմից, և ոչ թե հաճախորդի հարցման միջոցով.
• CVE-2019-10082- ը - mod_http2-ում խոցելիություն, որը թույլ է տալիս կապի դադարեցման պահին սկսել բովանդակության ընթերցումը արդեն ազատված հիշողության տարածքից (ընթերցվել-հետո-ազատ):

Ամենաուշագրավ ոչ անվտանգության փոփոխություններն են.

• mod_proxy_balancer-ը բարելավել է պաշտպանությունը վստահելի գործընկերների կողմից XSS/XSRF հարձակումներից.
• SessionExpiryUpdateInterval պարամետրը ավելացվել է mod_session-ին՝ որոշելու նիստի/թխուկների լրանալու ժամանակը թարմացնելու միջակայքը;
• Մաքրվել են սխալներով էջերը՝ նպատակ ունենալով վերացնել այդ էջերում հարցումներից տեղեկատվության ցուցադրումը.
• mod_http2-ը հաշվի է առնում «LimitRequestFieldSize» պարամետրի արժեքը, որը նախկինում վավեր էր միայն HTTP/1.1 վերնագրի դաշտերը ստուգելու համար.
• Ապահովում է, որ mod_proxy_hcheck կոնֆիգուրացիան ստեղծվել է BalancerMember-ում օգտագործելիս;
• Նվազեցված հիշողության սպառումը mod_dav-ում, երբ օգտագործում եք PROPFIND հրամանը մեծ հավաքածուի վրա;
• mod_proxy-ում և mod_ssl-ում լուծվել են պրոքսի բլոկի ներսում վկայագրի և SSL-ի կարգավորումները նշելու հետ կապված խնդիրները.
• mod_proxy-ը թույլ է տալիս SSLProxyCheckPeer* կարգավորումները կիրառել բոլոր վստահված մոդուլների վրա;
• Մոդուլի հնարավորություններն ընդլայնվել են mod_md, զարգացած Եկեք գաղտնագրենք նախագիծը՝ վկայագրերի ստացումն ու սպասարկումն ավտոմատացնելու համար՝ օգտագործելով ACME (Automatic Certificate Management Environment) արձանագրությունը.
  • Ավելացվեց արձանագրության երկրորդ տարբերակը ACMEv2, որն այժմ լռելյայն է և օգտագործում դատարկ POST հարցումներ՝ GET-ի փոխարեն:
  • Ավելացվել է հաստատման աջակցություն՝ հիմնված TLS-ALPN-01 ընդլայնման վրա (RFC 7301, Application-Layer Protocol Negotiation), որն օգտագործվում է HTTP/2-ում:
  • «tls-sni-01» ստուգման մեթոդի աջակցությունը դադարեցվել է (պատճառով խոցելիություններ).
  • «dns-01» մեթոդով չեկը կարգավորելու և խախտելու հրամաններ են ավելացվել:
  • Ավելացված աջակցություն դիմակներ վկայագրերում, երբ DNS-ի վրա հիմնված ստուգումը միացված է ('dns-01'):
  • Իրականացված «md-status» մշակող և վկայականի կարգավիճակի էջ «https://domain/.httpd/certificate-status»:
  • Ավելացվել են «MDCertificateFile» և «MDCertificateKeyFile» հրահանգները՝ ստատիկ ֆայլերի միջոցով տիրույթի պարամետրերը կարգավորելու համար (առանց ավտոմատ թարմացման աջակցության):
  • Ավելացվեց «MDMessageCmd» հրահանգը արտաքին հրամաններ կանչելու համար, երբ տեղի են ունենում «նորացված», «ժամկետանց» կամ «սխալված» իրադարձություններ:
  • Ավելացվեց «MDWarnWindow» հրահանգը վկայագրի ժամկետի ավարտի մասին նախազգուշական հաղորդագրությունը կազմաձևելու համար.

Source: opennet.ru