ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ದೋಷಗಳನ್ನು ನಿವಾರಿಸಿದ Apache 2.4.46 http ಸರ್ವರ್‌ನ ಬಿಡುಗಡೆ

ದೋಷಗಳನ್ನು ನಿವಾರಿಸಿದ Apache 2.4.46 http ಸರ್ವರ್‌ನ ಬಿಡುಗಡೆ

ಪ್ರಕಟಿಸಲಾಗಿದೆ Apache HTTP ಸರ್ವರ್ 2.4.46 ಬಿಡುಗಡೆ (ಬಿಡುಗಡೆಗಳು 2.4.44 ಮತ್ತು 2.4.45 ಅನ್ನು ಬಿಟ್ಟುಬಿಡಲಾಗಿದೆ), ಇದು ಪರಿಚಯಿಸಿತು 17 ಬದಲಾವಣೆಗಳು ಮತ್ತು ತೆಗೆದುಹಾಕಲಾಗಿದೆ 3 ದುರ್ಬಲತೆಗಳು:

  • CVE-2020-11984 — mod_proxy_uwsgi ಮಾಡ್ಯೂಲ್‌ನಲ್ಲಿ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ, ಇದು ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವಾಗ ಸರ್ವರ್‌ನಲ್ಲಿ ಮಾಹಿತಿ ಸೋರಿಕೆ ಅಥವಾ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್‌ಗೆ ಕಾರಣವಾಗಬಹುದು. ಬಹಳ ಉದ್ದವಾದ HTTP ಹೆಡರ್ ಕಳುಹಿಸುವ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲಾಗುತ್ತದೆ. ರಕ್ಷಣೆಗಾಗಿ, 16K ಗಿಂತ ಹೆಚ್ಚಿನ ಹೆಡರ್‌ಗಳನ್ನು ನಿರ್ಬಂಧಿಸುವುದನ್ನು ಸೇರಿಸಲಾಗಿದೆ (ಪ್ರೋಟೋಕಾಲ್ ವಿವರಣೆಯಲ್ಲಿ ಮಿತಿಯನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ).
  • CVE-2020-11993 - ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ HTTP/2 ಹೆಡರ್‌ನೊಂದಿಗೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವಾಗ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಕ್ರ್ಯಾಶ್ ಮಾಡಲು ಅನುಮತಿಸುವ mod_http2 ಮಾಡ್ಯೂಲ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆ. mod_http2 ಮಾಡ್ಯೂಲ್‌ನಲ್ಲಿ ಡೀಬಗ್ ಮಾಡುವಿಕೆ ಅಥವಾ ಟ್ರೇಸಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಸಮಸ್ಯೆಯು ಸ್ವತಃ ಸ್ಪಷ್ಟವಾಗಿ ಗೋಚರಿಸುತ್ತದೆ ಮತ್ತು ಲಾಗ್‌ಗೆ ಮಾಹಿತಿಯನ್ನು ಉಳಿಸುವಾಗ ಓಟದ ಸ್ಥಿತಿಯ ಕಾರಣದಿಂದಾಗಿ ಮೆಮೊರಿ ವಿಷಯ ಭ್ರಷ್ಟಾಚಾರದಲ್ಲಿ ಪ್ರತಿಫಲಿಸುತ್ತದೆ. ಲಾಗ್‌ಲೆವೆಲ್ ಅನ್ನು "ಮಾಹಿತಿ" ಗೆ ಹೊಂದಿಸಿದಾಗ ಸಮಸ್ಯೆ ಕಾಣಿಸುವುದಿಲ್ಲ.
  • CVE-2020-9490 - ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ 'ಕ್ಯಾಶ್-ಡೈಜೆಸ್ಟ್' ಹೆಡರ್ ಮೌಲ್ಯದೊಂದಿಗೆ HTTP/2 ಮೂಲಕ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವಾಗ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಕ್ರ್ಯಾಶ್ ಮಾಡಲು ಅನುಮತಿಸುವ mod_http2 ಮಾಡ್ಯೂಲ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆ (ಸಂಪನ್ಮೂಲದಲ್ಲಿ HTTP/2 ಪುಶ್ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಮಾಡಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಕ್ರ್ಯಾಶ್ ಸಂಭವಿಸುತ್ತದೆ) . ದುರ್ಬಲತೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು, ನೀವು "H2Push off" ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಬಳಸಬಹುದು.
  • CVE-2020-11985 — mod_remoteip ದುರ್ಬಲತೆ, ಇದು mod_remoteip ಮತ್ತು mod_rewrite ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರಾಕ್ಸಿಯಿಂಗ್ ಸಮಯದಲ್ಲಿ IP ವಿಳಾಸಗಳನ್ನು ವಂಚಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. 2.4.1 ರಿಂದ 2.4.23 ರ ಬಿಡುಗಡೆಗಳಿಗೆ ಮಾತ್ರ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ.

ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ಭದ್ರತೆಯಲ್ಲದ ಬದಲಾವಣೆಗಳೆಂದರೆ:

  • mod_http2 ನಿಂದ ಡ್ರಾಫ್ಟ್ ವಿವರಣೆಗೆ ಬೆಂಬಲವನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ kazuho-h2-cache-digest, ಅವರ ಪ್ರಚಾರವನ್ನು ನಿಲ್ಲಿಸಲಾಗಿದೆ.
  • mod_http2 ನಲ್ಲಿ "LimitRequestFields" ನಿರ್ದೇಶನದ ನಡವಳಿಕೆಯನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ; 0 ಮೌಲ್ಯವನ್ನು ಸೂಚಿಸುವುದರಿಂದ ಮಿತಿಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ.
  • mod_http2 ಪ್ರಾಥಮಿಕ ಮತ್ತು ದ್ವಿತೀಯಕ (ಮಾಸ್ಟರ್/ಸೆಕೆಂಡರಿ) ಸಂಪರ್ಕಗಳ ಸಂಸ್ಕರಣೆ ಮತ್ತು ಬಳಕೆಗೆ ಅನುಗುಣವಾಗಿ ವಿಧಾನಗಳ ಗುರುತುಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ.
  • FCGI/CGI ಸ್ಕ್ರಿಪ್ಟ್‌ನಿಂದ ತಪ್ಪಾದ ಕೊನೆಯ-ಮಾರ್ಪಡಿಸಿದ ಹೆಡರ್ ವಿಷಯವನ್ನು ಸ್ವೀಕರಿಸಿದರೆ, ಈ ಹೆಡರ್ ಅನ್ನು Unix ಯುಗ ಸಮಯದಲ್ಲಿ ಬದಲಿಸುವ ಬದಲು ಈಗ ತೆಗೆದುಹಾಕಲಾಗುತ್ತದೆ.
  • ವಿಷಯದ ಗಾತ್ರವನ್ನು ಕಟ್ಟುನಿಟ್ಟಾಗಿ ಪಾರ್ಸ್ ಮಾಡಲು ap_parse_strict_length() ಕಾರ್ಯವನ್ನು ಕೋಡ್‌ಗೆ ಸೇರಿಸಲಾಗಿದೆ.
  • Mod_proxy_fcgi ನ ProxyFCGISetEnvIf ಕೊಟ್ಟಿರುವ ಅಭಿವ್ಯಕ್ತಿ ತಪ್ಪು ಎಂದು ಹಿಂತಿರುಗಿಸಿದರೆ ಪರಿಸರ ವೇರಿಯಬಲ್‌ಗಳನ್ನು ತೆಗೆದುಹಾಕಲಾಗುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ.
  • SSLProxyMachineCertificateFile ಸೆಟ್ಟಿಂಗ್ ಮೂಲಕ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಕ್ಲೈಂಟ್ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸುವಾಗ ರೇಸ್ ಸ್ಥಿತಿಯನ್ನು ಮತ್ತು ಸಂಭವನೀಯ mod_ssl ಕ್ರ್ಯಾಶ್ ಅನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ.
  • mod_ssl ನಲ್ಲಿ ಸ್ಥಿರ ಮೆಮೊರಿ ಸೋರಿಕೆ.
  • mod_proxy_http2 ಪ್ರಾಕ್ಸಿ ನಿಯತಾಂಕದ ಬಳಕೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ "ಪಿಂಗ್» ಬ್ಯಾಕೆಂಡ್‌ಗೆ ಹೊಸ ಅಥವಾ ಮರುಬಳಕೆಯ ಸಂಪರ್ಕದ ಕಾರ್ಯವನ್ನು ಪರಿಶೀಲಿಸುವಾಗ.
  • mod_systemd ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ "-lsystemd" ಆಯ್ಕೆಯೊಂದಿಗೆ httpd ಅನ್ನು ಬಂಧಿಸುವುದನ್ನು ನಿಲ್ಲಿಸಲಾಗಿದೆ.
  • mod_proxy_http2 ಬ್ಯಾಕೆಂಡ್‌ಗೆ ಸಂಪರ್ಕಗಳ ಮೂಲಕ ಒಳಬರುವ ಡೇಟಾಕ್ಕಾಗಿ ಕಾಯುತ್ತಿರುವಾಗ ProxyTimeout ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಲಾಗುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ