מהדורת שרת http של Apache 2.4.41 עם פגיעויות מתוקנות

יצא לאור מהדורה של שרת ה-HTTP של Apache 2.4.41 (הגרסה 2.4.40 נדחתה), שהציגה 23 שינויים וחוסלו 6 נקודות תורפה:

• CVE-2019-10081 היא בעיה ב-mod_http2 שעלולה להוביל לפגיעה בזיכרון בעת ​​שליחת בקשות דחיפה בשלב מוקדם מאוד. בעת שימוש בהגדרה "H2PushResource", ניתן להחליף זיכרון במאגר עיבוד הבקשות, אך הבעיה מוגבלת לקריסה מכיוון שהנתונים הנכתבים אינם מבוססים על מידע שהתקבל מהלקוח;
• CVE-2019-9517 - חשיפה אחרונה הכריז פגיעויות DoS בהטמעות HTTP/2.
  תוקף יכול למצות את הזיכרון הזמין לתהליך וליצור עומס מעבד כבד על ידי פתיחת חלון HTTP/2 הזזה לשרת כדי לשלוח נתונים ללא הגבלות, אך שמירה על חלון ה-TCP סגור, ולמנוע כתיבה של נתונים בפועל לשקע;
• CVE-2019-10098 - בעיה ב-mod_rewrite, המאפשרת לך להשתמש בשרת כדי להעביר בקשות למשאבים אחרים (הפניה פתוחה). הגדרות mod_rewrite מסוימות עשויות לגרום לכך שהמשתמש יועבר לקישור אחר, המקודד באמצעות תו חדש בתוך פרמטר המשמש בהפניה קיימת. כדי לחסום את הבעיה ב-RegexDefaultOptions, אתה יכול להשתמש בדגל PCRE_DOTALL, שמוגדר כעת כברירת מחדל;
• CVE-2019-10092 - היכולת לבצע סקריפטים בין אתרים בדפי שגיאה המוצגים על ידי mod_proxy. בדפים אלו, הקישור מכיל את כתובת ה-URL שהתקבלה מהבקשה, בה תוקף יכול להכניס קוד HTML שרירותי באמצעות בריחת תווים;
• CVE-2019-10097 - הצפת מחסנית והפניית מצביע NULL ב-mod_remoteip, מנוצלת באמצעות מניפולציה של כותרת פרוטוקול PROXY. ההתקפה יכולה להתבצע רק מהצד של שרת ה-proxy המשמש בהגדרות, ולא באמצעות בקשת לקוח;
• CVE-2019-10082 - נקודת תורפה ב-mod_http2 המאפשרת, ברגע סיום החיבור, ליזום קריאת תכנים מאזור זיכרון משוחרר כבר (read-after-free).

השינויים הבולטים שאינם ביטחוניים הם:

• mod_proxy_balancer שיפר הגנה מפני התקפות XSS/XSRF מעמיתים מהימנים;
• הגדרת SessionExpiryUpdateInterval נוספה ל-mod_session כדי לקבוע את המרווח לעדכון זמן התפוגה של ההפעלה/עוגייה;
• נוקו דפים עם שגיאות, שמטרתם למנוע הצגת מידע מבקשות בדפים אלה;
• mod_http2 לוקח בחשבון את הערך של הפרמטר "LimitRequestFieldSize", שבעבר היה תקף רק לבדיקת שדות כותרת HTTP/1.1;
• מבטיח שתצורת mod_proxy_hcheck נוצרת בעת שימוש ב-BalancerMember;
• צריכת זיכרון מופחתת ב-mod_dav בעת שימוש בפקודה PROPFIND באוסף גדול;
• ב-mod_proxy ו-mod_ssl, בעיות עם ציון הגדרות אישור ו-SSL בתוך בלוק Proxy נפתרו;
• mod_proxy מאפשר להחיל את הגדרות SSLProxyCheckPeer* על כל מודולי ה-proxy;
• יכולות המודול הורחבו mod_md, מפותח בואו להצפין פרויקט לאוטומציה של קבלה ותחזוקה של אישורים באמצעות פרוטוקול ACME (סביבה אוטומטית לניהול תעודות):
  • נוספה גרסה שנייה של הפרוטוקול ACMEv2, שהוא כעת ברירת המחדל ו использует בקשות POST ריקות במקום GET.
  • נוספה תמיכה לאימות המבוססת על סיומת TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), המשמשת ב-HTTP/2.
  • התמיכה בשיטת האימות 'tls-sni-01' הופסקה (בשל פגיעות).
  • נוספו פקודות להגדרה ושבירת הסימון בשיטת 'dns-01'.
  • נוספה תמיכה מסכות באישורים כאשר אימות מבוסס DNS מופעל ('dns-01').
  • הטמעת מטפל 'md-status' ודף סטטוס האישור 'https://domain/.httpd/certificate-status'.
  • נוספו הנחיות "MDCertificateFile" ו-"MDCertificateKeyFile" להגדרת פרמטרי תחום באמצעות קבצים סטטיים (ללא תמיכה בעדכון אוטומטי).
  • נוספה הנחיית "MDMessageCmd" לקריאת פקודות חיצוניות כאשר מתרחשים אירועים 'מחודשים', 'פג תוקפו' או 'שגיאות'.
  • נוספה הנחיית "MDWarnWindow" כדי להגדיר הודעת אזהרה לגבי תפוגת אישור;

מקור: OpenNet.ru