ProHoster > בלוג > חדשות באינטרנט > מהדורת שרת http של Apache 2.4.41 עם פגיעויות מתוקנות

מהדורת שרת http של Apache 2.4.41 עם פגיעויות מתוקנות

יצא לאור מהדורה של שרת ה-HTTP של Apache 2.4.41 (הגרסה 2.4.40 נדחתה), שהציגה 23 שינויים וחוסלו 6 נקודות תורפה:

  • CVE-2019-10081 היא בעיה ב-mod_http2 שעלולה להוביל לפגיעה בזיכרון בעת ​​שליחת בקשות דחיפה בשלב מוקדם מאוד. בעת שימוש בהגדרה "H2PushResource", ניתן להחליף זיכרון במאגר עיבוד הבקשות, אך הבעיה מוגבלת לקריסה מכיוון שהנתונים הנכתבים אינם מבוססים על מידע שהתקבל מהלקוח;
  • CVE-2019-9517 - חשיפה אחרונה הכריז פגיעויות DoS בהטמעות HTTP/2.
    תוקף יכול למצות את הזיכרון הזמין לתהליך וליצור עומס מעבד כבד על ידי פתיחת חלון HTTP/2 הזזה לשרת כדי לשלוח נתונים ללא הגבלות, אך שמירה על חלון ה-TCP סגור, ולמנוע כתיבה של נתונים בפועל לשקע;

  • CVE-2019-10098 - בעיה ב-mod_rewrite, המאפשרת לך להשתמש בשרת כדי להעביר בקשות למשאבים אחרים (הפניה פתוחה). הגדרות mod_rewrite מסוימות עשויות לגרום לכך שהמשתמש יועבר לקישור אחר, המקודד באמצעות תו חדש בתוך פרמטר המשמש בהפניה קיימת. כדי לחסום את הבעיה ב-RegexDefaultOptions, אתה יכול להשתמש בדגל PCRE_DOTALL, שמוגדר כעת כברירת מחדל;
  • CVE-2019-10092 - היכולת לבצע סקריפטים בין אתרים בדפי שגיאה המוצגים על ידי mod_proxy. בדפים אלו, הקישור מכיל את כתובת ה-URL שהתקבלה מהבקשה, בה תוקף יכול להכניס קוד HTML שרירותי באמצעות בריחת תווים;
  • CVE-2019-10097 - הצפת מחסנית והפניית מצביע NULL ב-mod_remoteip, מנוצלת באמצעות מניפולציה של כותרת פרוטוקול PROXY. ההתקפה יכולה להתבצע רק מהצד של שרת ה-proxy המשמש בהגדרות, ולא באמצעות בקשת לקוח;
  • CVE-2019-10082 - נקודת תורפה ב-mod_http2 המאפשרת, ברגע סיום החיבור, ליזום קריאת תכנים מאזור זיכרון משוחרר כבר (read-after-free).

השינויים הבולטים שאינם ביטחוניים הם:

  • mod_proxy_balancer שיפר הגנה מפני התקפות XSS/XSRF מעמיתים מהימנים;
  • הגדרת SessionExpiryUpdateInterval נוספה ל-mod_session כדי לקבוע את המרווח לעדכון זמן התפוגה של ההפעלה/עוגייה;
  • נוקו דפים עם שגיאות, שמטרתם למנוע הצגת מידע מבקשות בדפים אלה;
  • mod_http2 לוקח בחשבון את הערך של הפרמטר "LimitRequestFieldSize", שבעבר היה תקף רק לבדיקת שדות כותרת HTTP/1.1;
  • מבטיח שתצורת mod_proxy_hcheck נוצרת בעת שימוש ב-BalancerMember;
  • צריכת זיכרון מופחתת ב-mod_dav בעת שימוש בפקודה PROPFIND באוסף גדול;
  • ב-mod_proxy ו-mod_ssl, בעיות עם ציון הגדרות אישור ו-SSL בתוך בלוק Proxy נפתרו;
  • mod_proxy מאפשר להחיל את הגדרות SSLProxyCheckPeer* על כל מודולי ה-proxy;
  • יכולות המודול הורחבו mod_md, מפותח בואו להצפין פרויקט לאוטומציה של קבלה ותחזוקה של אישורים באמצעות פרוטוקול ACME (סביבה אוטומטית לניהול תעודות):
    • נוספה גרסה שנייה של הפרוטוקול ACMEv2, שהוא כעת ברירת המחדל ו использует בקשות POST ריקות במקום GET.
    • נוספה תמיכה לאימות המבוססת על סיומת TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), המשמשת ב-HTTP/2.
    • התמיכה בשיטת האימות 'tls-sni-01' הופסקה (בשל פגיעות).
    • נוספו פקודות להגדרה ושבירת הסימון בשיטת 'dns-01'.
    • נוספה תמיכה מסכות באישורים כאשר אימות מבוסס DNS מופעל ('dns-01').
    • הטמעת מטפל 'md-status' ודף סטטוס האישור 'https://domain/.httpd/certificate-status'.
    • נוספו הנחיות "MDCertificateFile" ו-"MDCertificateKeyFile" להגדרת פרמטרי תחום באמצעות קבצים סטטיים (ללא תמיכה בעדכון אוטומטי).
    • נוספה הנחיית "MDMessageCmd" לקריאת פקודות חיצוניות כאשר מתרחשים אירועים 'מחודשים', 'פג תוקפו' או 'שגיאות'.
    • נוספה הנחיית "MDWarnWindow" כדי להגדיר הודעת אזהרה לגבי תפוגת אישור;

מקור: OpenNet.ru

הוספת תגובה