ProHoster > Blog > netfréttir > Apache 2.4.46 http miðlara útgáfa með veikleikum lagfærð

Apache 2.4.46 http miðlara útgáfa með veikleikum lagfærð

birt útgáfu af Apache HTTP þjóninum 2.4.46 (útgáfu 2.4.44 og 2.4.45 var sleppt), sem kynnti 17 breytingar og útrýmt 3 veikleikar:

  • CVE-2020-11984 — yfirflæði biðminni í mod_proxy_uwsgi einingunni, sem getur leitt til upplýsingaleka eða keyrslu kóða á þjóninum þegar sérstaklega útbúin beiðni er send. Varnarleysið er nýtt með því að senda mjög langan HTTP haus. Til verndar hefur lokun á hausum sem eru lengri en 16K verið bætt við (takmörk skilgreind í samskiptalýsingunni).
  • CVE-2020-11993 — varnarleysi í mod_http2 einingunni sem gerir ferlinu kleift að hrynja þegar beiðni er send með sérhönnuðum HTTP/2 haus. Vandamálið lýsir sér þegar kembiforrit eða rekja er virkt í mod_http2 einingunni og endurspeglast í skemmdum á minnisinnihaldi vegna keppnisástands þegar upplýsingar eru vistaðar í annálnum. Vandamálið birtist ekki þegar LogLevel er stillt á „info“.
  • CVE-2020-9490 — varnarleysi í mod_http2 einingunni sem gerir ferli kleift að hrynja þegar beiðni er send í gegnum HTTP/2 með sérhönnuðu „Cache-Digest“ hausgildi (hrunið á sér stað þegar reynt er að framkvæma HTTP/2 PUSH aðgerð á auðlind) . Til að loka á varnarleysið geturðu notað „H2Push off“ stillinguna.
  • CVE-2020-11985 — mod_remoteip varnarleysi, sem gerir þér kleift að sposka IP-tölur meðan á umboði stendur með því að nota mod_remoteip og mod_rewrite. Vandamálið birtist aðeins fyrir útgáfur 2.4.1 til 2.4.23.

Merkustu breytingarnar sem ekki tengjast öryggi eru:

  • Stuðningur við drög að forskrift hefur verið fjarlægð úr mod_http2 kazuho-h2-skyndiminni-melta, þar sem kynningu hefur verið hætt.
  • Breytti hegðun "LimitRequestFields" tilskipunarinnar í mod_http2; að tilgreina gildið 0 slekkur nú á mörkunum.
  • mod_http2 veitir úrvinnslu á aðal- og framhaldstengingum (aðal/efri) tengingum og merkingu aðferða eftir notkun.
  • Ef rangt Last-Modified hausefni er móttekið frá FCGI/CGI skriftu er þessi haus fjarlægður frekar en skipt út á Unix tímaskeiði.
  • ap_parse_strict_length() fallinu hefur verið bætt við kóðann til að flokka innihaldsstærðina nákvæmlega.
  • ProxyFCGISetEnvIf frá Mod_proxy_fcgi tryggir að umhverfisbreytur séu fjarlægðar ef tiltekin tjáning skilar False.
  • Lagaði keppnisástand og mögulega mod_ssl hrun þegar notendaskírteini var tilgreint með SSLProxyMachineCertificateFile stillingunni.
  • Lagaði minnisleka í mod_ssl.
  • mod_proxy_http2 veitir notkun á proxy-breytu "smellur» þegar athugað er virkni nýrrar eða endurnotaðrar tengingar við bakenda.
  • Hætti að binda httpd með "-lsystemd" valkostinum þegar mod_systemd er virkt.
  • mod_proxy_http2 tryggir að ProxyTimeout stillingin sé tekin með í reikninginn þegar beðið er eftir gögnum sem berast í gegnum tengingar við bakendann.

Heimild: opennet.ru

Bæta við athugasemd