-
CVE-2019-10081 これは、非常に早い段階でプッシュ リクエストを送信するときにメモリ破損を引き起こす可能性がある mod_http2 の問題です。 「H2PushResource」設定を使用すると、リクエスト処理プール内のメモリを上書きすることができますが、書き込まれるデータはクライアントから受信した情報に基づいていないため、問題はクラッシュに限定されます。 -
CVE-2019-9517 - 最近の暴露発表された HTTP/2 実装における DoS 脆弱性。
攻撃者は、サーバーが無制限にデータを送信できるようにスライド式 HTTP/2 ウィンドウを開いて、TCP ウィンドウを閉じたままにし、実際にデータがソケットに書き込まれるのを防ぐことで、プロセスで利用可能なメモリを使い果たし、CPU 負荷を高めることができます。 -
CVE-2019-10098 - サーバーを使用してリクエストを他のリソースに転送できるようにする mod_rewrite の問題 (オープン リダイレクト)。 一部の mod_rewrite 設定では、既存のリダイレクトで使用されるパラメータ内の改行文字を使用してエンコードされ、ユーザーが別のリンクに転送される場合があります。 RegexDefaultOptions の問題をブロックするには、現在デフォルトで設定されている PCRE_DOTALL フラグを使用できます。 -
CVE-2019-10092 - mod_proxy によって表示されるエラー ページでクロスサイト スクリプティングを実行する機能。 これらのページでは、リンクにはリクエストから取得した URL が含まれており、攻撃者は文字エスケープを通じて任意の HTML コードを挿入できます。 -
CVE-2019-10097 — mod_remoteip でのスタック オーバーフローと NULL ポインタ逆参照。PROXY プロトコル ヘッダーの操作を通じて悪用されます。 攻撃は、設定で使用されているプロキシ サーバー側からのみ実行でき、クライアント要求を通じては実行できません。 -
CVE-2019-10082 - mod_http2 の脆弱性により、接続終了時に、既に解放されたメモリ領域からのコンテンツの読み取り (リードアフターフリー) が開始される可能性があります。
セキュリティ以外の最も注目すべき変更は次のとおりです。
- mod_proxy_balancer は、信頼できるピアからの XSS/XSRF 攻撃に対する保護を強化しました。
- セッション/Cookie の有効期限を更新する間隔を決定するために、SessionExpiryUpdateInterval 設定が mod_session に追加されました。
- エラーのあるページは、これらのページでのリクエストからの情報の表示を排除することを目的としてクリーンアップされました。
- mod_http2 は、「LimitRequestFieldSize」パラメータの値を考慮します。このパラメータは、以前は HTTP/1.1 ヘッダー フィールドのチェックにのみ有効でした。
- BalancerMember で使用するときに mod_proxy_hcheck 構成が作成されるようにします。
- 大規模なコレクションに対して PROPFIND コマンドを使用する場合の mod_dav でのメモリ消費量が削減されました。
- mod_proxy と mod_ssl では、Proxy ブロック内の証明書と SSL 設定の指定に関する問題が解決されました。
- mod_proxy を使用すると、SSLProxyCheckPeer* 設定をすべてのプロキシ モジュールに適用できます。
- モジュールの機能が拡張されました
mod_md ,によって開発された ACME (自動証明書管理環境) プロトコルを使用して証明書の受信と保守を自動化する Let's Encrypt プロジェクト:- プロトコルの XNUMX 番目のバージョンを追加しました
ACMEv2 、現在はデフォルトになっており、使用する GET の代わりに空の POST リクエストを使用します。 - HTTP/01 で使用される TLS-ALPN-7301 拡張機能 (RFC 2、アプリケーション層プロトコル ネゴシエーション) に基づく検証のサポートが追加されました。
- 「tls-sni-01」検証方法のサポートは中止されました(理由)
脆弱性 ). - 「dns-01」メソッドを使用してチェックを設定および解除するためのコマンドを追加しました。
- 追加されたサポート
マスク DNS ベースの検証が有効になっている場合 (「dns-01」)、証明書に含まれます。 - 「md-status」ハンドラーと証明書ステータスページ「https://domain/.httpd/certificate-status」を実装しました。
- 静的ファイルを介してドメイン パラメーターを構成するための "MDCertificateFile" および "MDCertificateKeyFile" ディレクティブが追加されました (自動更新サポートなし)。
- 「更新」、「期限切れ」、または「エラー」イベントが発生したときに外部コマンドを呼び出すための「MDMessageCmd」ディレクティブを追加しました。
- 証明書の有効期限に関する警告メッセージを設定するための「MDWarnWindow」ディレクティブを追加しました。
- プロトコルの XNUMX 番目のバージョンを追加しました
出所: オープンネット.ru