ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Apache 2.4.46 http server release karo vulnerabilities tetep

Apache 2.4.46 http server release karo vulnerabilities tetep

diterbitake release saka server Apache HTTP 2.4.46 (rilis 2.4.44 lan 2.4.45 dilewati), sing ngenalaken 17 owah-owahan lan diilangi 3 kerentanan:

  • CVE-2020-11984 - kebanjiran buffer ing modul mod_proxy_uwsgi, kang bisa mimpin kanggo bocor informasi utawa eksekusi kode ing server nalika ngirim request digawe khusus. Kerentanan kasebut dieksploitasi kanthi ngirim header HTTP sing dawa banget. Kanggo proteksi, pamblokiran header luwih saka 16K wis ditambahake (wates sing ditetepake ing spesifikasi protokol).
  • CVE-2020-11993 - kerentanan ing modul mod_http2 sing ngidini proses nabrak nalika ngirim panjalukan kanthi header HTTP / 2 sing dirancang khusus. Masalah manifests dhewe nalika debugging utawa nelusuri diaktifake ing modul mod_http2 lan dibayangke ing korupsi isi memori amarga kondisi lomba nalika nyimpen informasi kanggo log. Masalah ora katon nalika LogLevel disetel menyang "info".
  • CVE-2020-9490 - kerentanan ing modul mod_http2 sing ngidini proses nabrak nalika ngirim panjalukan liwat HTTP / 2 kanthi nilai header 'Cache-Digest' sing dirancang khusus (kacilakan kedadeyan nalika nyoba nindakake operasi PUSH HTTP / 2 ing sumber daya) . Kanggo mblokir kerentanan, sampeyan bisa nggunakake setelan "H2Push mati".
  • CVE-2020-11985 - kerentanan mod_remoteip, sing ngidini sampeyan ngapusi alamat IP sajrone proxy nggunakake mod_remoteip lan mod_rewrite. Masalah mung katon kanggo release 2.4.1 kanggo 2.4.23.

Owah-owahan non-keamanan sing paling penting yaiku:

  • Dhukungan kanggo spesifikasi rancangan wis dibusak saka mod_http2 kazuho-h2-cache-digest, sing promosi wis mandheg.
  • Ngganti prilaku arahan "LimitRequestFields" ing mod_http2; nemtokake nilai 0 saiki mateni watesan kasebut.
  • mod_http2 nyedhiyakake pangolahan sambungan primer lan sekunder (master / sekunder) lan menehi tandha cara gumantung saka panggunaan.
  • Yen isi header Last-Modified sing salah ditampa saka skrip FCGI/CGI, header iki saiki dibusak tinimbang diganti ing wektu Unix.
  • Fungsi ap_parse_strict_length () wis ditambahake menyang kode kanggo strictly parse ukuran isi.
  • Mod_proxy_fcgi's ProxyFCGISetEnvIf mesthekake yen variabel lingkungan dibusak yen ekspresi diwenehi ngasilake Palsu.
  • Ndandani kondisi balapan lan kemungkinan mod_ssl kacilakan nalika nggunakake sertifikat klien sing ditemtokake liwat setelan SSLProxyMachineCertificateFile.
  • Bocor memori tetep ing mod_ssl.
  • mod_proxy_http2 nyedhiyakake panggunaan parameter proxy "pingΒ» nalika mriksa fungsi sambungan anyar utawa digunakake maneh menyang backend.
  • Mungkasi naleni httpd karo opsi "-lsystemd" nalika mod_systemd diaktifake.
  • mod_proxy_http2 mesthekake yen setelan ProxyTimeout dianggep nalika nunggu data sing mlebu liwat sambungan menyang backend.

Source: opennet.ru

Add a comment