ProHoster > Օրագիր > ինտերնետ նորություններ > Apache 2.4.46 http սերվերի թողարկում՝ շտկված խոցելիությամբ

Apache 2.4.46 http սերվերի թողարկում՝ շտկված խոցելիությամբ

հրապարակված Apache HTTP սերվերի թողարկում 2.4.46 (2.4.44 և 2.4.45 թողարկումները բաց են թողնվել), որը ներկայացրեց 17 փոփոխություն և վերացվել 3 խոցելիություն:

  • CVE-2020-11984- ը — բուֆերային արտահոսք mod_proxy_uwsgi մոդուլում, որը կարող է հանգեցնել տեղեկատվության արտահոսքի կամ սերվերի վրա կոդի կատարման հատուկ մշակված հարցում ուղարկելիս: Խոցելիությունը շահագործվում է՝ ուղարկելով շատ երկար HTTP վերնագիր: Պաշտպանության համար ավելացվել է 16K-ից ավելի վերնագրերի արգելափակում (արձանագրության բնութագրում սահմանված սահմանաչափ):
  • CVE-2020-11993- ը — mod_http2 մոդուլի խոցելիություն, որը թույլ է տալիս գործընթացին խափանել հատուկ մշակված HTTP/2 վերնագրով հարցում ուղարկելիս: Խնդիրը դրսևորվում է այն ժամանակ, երբ վրիպազերծումը կամ հետագծումը միացված է mod_http2 մոդուլում և հանգեցնում է հիշողության խաթարման՝ տեղեկամատյանում տեղեկատվությունը պահելու ժամանակ մրցավազքի պատճառով: Խնդիրը չի երևում, երբ LogLevel-ը դրված է «info»:
  • CVE-2020-9490- ը — mod_http2 մոդուլի խոցելիություն, որը թույլ է տալիս գործընթացին խափանել HTTP/2-ի միջոցով հարցում ուղարկելիս հատուկ մշակված «Cache-Digest» վերնագրի արժեքով (խափանումը տեղի է ունենում ռեսուրսի վրա HTTP/2 PUSH գործողություն կատարելիս) . Խոցելիությունը արգելափակելու համար կարող եք օգտագործել «H2Push off» պարամետրը:
  • CVE-2020-11985- ը — mod_remoteip խոցելիություն, որը թույլ է տալիս կեղծել IP հասցեները պրոքսինգի ժամանակ՝ օգտագործելով mod_remoteip և mod_rewrite: Խնդիրը հայտնվում է միայն 2.4.1-ից մինչև 2.4.23 թողարկումների համար:

Ամենաուշագրավ ոչ անվտանգության փոփոխություններն են.

  • Նախագծի ճշգրտման աջակցությունը հեռացվել է mod_http2-ից kazuho-h2-cache-digest, որի առաջխաղացումը դադարեցվել է։
  • Փոխել է «LimitRequestFields» հրահանգի վարքագիծը mod_http2-ում; 0-ի սահմանումը այժմ անջատում է սահմանը:
  • mod_http2-ն ապահովում է առաջնային և երկրորդային (հիմնական/երկրորդային) միացումների մշակում և մեթոդների նշում՝ կախված կիրառությունից:
  • Եթե ​​վերջին փոփոխված վերնագրի սխալ բովանդակությունը ստացվում է FCGI/CGI սկրիպտից, ապա այս վերնագիրն այժմ հեռացվում է, այլ ոչ թե փոխարինվում Unix դարաշրջանում:
  • Կոդին ավելացվել է ap_parse_strict_length() ֆունկցիան՝ բովանդակության չափը խստորեն վերլուծելու համար:
  • Mod_proxy_fcgi-ի ProxyFCGISetEnvIf-ն ապահովում է, որ միջավայրի փոփոխականները հեռացվեն, եթե տրված արտահայտությունը վերադարձնի False:
  • Շտկվել է մրցավազքի վիճակը և հնարավոր mod_ssl խափանումը, երբ օգտագործում եք SSLProxyMachineCertificateFile պարամետրի միջոցով նշված հաճախորդի վկայականը:
  • Հիշողության արտահոսքը շտկվել է mod_ssl-ում:
  • mod_proxy_http2 ապահովում է վստահված անձի պարամետրի օգտագործումը "սուլոց» հետնամասի հետ նոր կամ վերօգտագործված կապի ֆունկցիոնալությունը ստուգելիս:
  • Դադարեցրեց httpd-ի կապը «-lsystemd» տարբերակի հետ, երբ mod_systemd-ը միացված է:
  • mod_proxy_http2-ն ապահովում է, որ ProxyTimeout պարամետրը հաշվի առնվի, երբ սպասվում է մուտքային տվյալներ հետնամասի հետ կապերի միջոցով:

Source: opennet.ru