-
CVE-2019-10081 ๋งค์ฐ ์ด๊ธฐ ๋จ๊ณ์์ ํธ์ ์์ฒญ์ ๋ณด๋ผ ๋ ๋ฉ๋ชจ๋ฆฌ ์์์ ์ผ์ผํฌ ์ ์๋ mod_http2์ ๋ฌธ์ ์ ๋๋ค. "H2PushResource" ์ค์ ์ ์ฌ์ฉํ๋ฉด ์์ฒญ ์ฒ๋ฆฌ ํ์ ๋ฉ๋ชจ๋ฆฌ๋ฅผ ๋ฎ์ด์ธ ์ ์์ง๋ง ํด๋ผ์ด์ธํธ์์ ๋ฐ์ ์ ๋ณด๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ์์ฑ๋๋ ๋ฐ์ดํฐ๊ฐ ์๋๊ธฐ ๋๋ฌธ์ ๋ฌธ์ ๋ ์ถฉ๋๋ก ์ ํ๋ฉ๋๋ค. -
CVE-2019-9517 - ์ต๊ทผ ๋ ธ์ถ๋ฐํ HTTP/2 ๊ตฌํ์ DoS ์ทจ์ฝ์ .
๊ณต๊ฒฉ์๋ ์๋ฒ๊ฐ ์ ํ ์์ด ๋ฐ์ดํฐ๋ฅผ ๋ณด๋ผ ์ ์๋๋ก ์ฌ๋ผ์ด๋ฉ HTTP/2 ์ฐฝ์ ์ด๋ฉด์ ํ๋ก์ธ์ค์ ์ฌ์ฉ ๊ฐ๋ฅํ ๋ฉ๋ชจ๋ฆฌ๋ฅผ ์์งํ๊ณ ๊ณผ๋ํ CPU ๋ก๋๋ฅผ ์์ฑํ ์ ์์ต๋๋ค. ๊ทธ๋ฌ๋ TCP ์ฐฝ์ ๋ซํ ์ํ๋ก ์ ์งํ์ฌ ๋ฐ์ดํฐ๊ฐ ์ค์ ๋ก ์์ผ์ ๊ธฐ๋ก๋๋ ๊ฒ์ ๋ฐฉ์งํฉ๋๋ค. -
CVE-2019-10098 - ์๋ฒ๋ฅผ ์ฌ์ฉํ์ฌ ์์ฒญ์ ๋ค๋ฅธ ๋ฆฌ์์ค๋ก ์ ๋ฌํ ์ ์๋ mod_rewrite์ ๋ฌธ์ (์คํ ๋ฆฌ๋๋ ์ ). ์ผ๋ถ mod_rewrite ์ค์ ์ผ๋ก ์ธํด ์ฌ์ฉ์๊ฐ ๊ธฐ์กด ๋ฆฌ๋๋ ์ ์ ์ฌ์ฉ๋ ๋งค๊ฐ๋ณ์ ๋ด์ ๊ฐํ ๋ฌธ์๋ฅผ ์ฌ์ฉํ์ฌ ์ธ์ฝ๋ฉ๋ ๋ค๋ฅธ ๋งํฌ๋ก ์ ๋ฌ๋ ์ ์์ต๋๋ค. RegexDefaultOptions์์ ๋ฌธ์ ๋ฅผ ์ฐจ๋จํ๋ ค๋ฉด ์ด์ ๊ธฐ๋ณธ์ ์ผ๋ก ์ค์ ๋๋ PCRE_DOTALL ํ๋๊ทธ๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค. -
CVE-2019-10092 - mod_proxy์ ์ํด ํ์๋๋ ์ค๋ฅ ํ์ด์ง์์ ํฌ๋ก์ค ์ฌ์ดํธ ์คํฌ๋ฆฝํ ์ ์ํํ๋ ๊ธฐ๋ฅ. ์ด๋ฌํ ํ์ด์ง์ ๋งํฌ์๋ ๊ณต๊ฒฉ์๊ฐ ๋ฌธ์ ์ด์ค์ผ์ดํ๋ฅผ ํตํด ์์์ HTML ์ฝ๋๋ฅผ ์ฝ์ ํ ์ ์๋ ์์ฒญ์์ ์ป์ URL์ด ํฌํจ๋์ด ์์ต๋๋ค. -
CVE-2019-10097 โ PROXY ํ๋กํ ์ฝ ํค๋ ์กฐ์์ ํตํด ์ ์ฉ๋๋ mod_remoteip์ ์คํ ์ค๋ฒํ๋ก ๋ฐ NULL ํฌ์ธํฐ ์ญ์ฐธ์กฐ. ๊ณต๊ฒฉ์ ์ค์ ์ ์ฌ์ฉ๋ ํ๋ก์ ์๋ฒ ์ธก์์๋ง ์ํ๋ ์ ์์ผ๋ฉฐ ํด๋ผ์ด์ธํธ ์์ฒญ์ ํตํด์๋ ์ํ๋ ์ ์์ต๋๋ค. -
CVE-2019-10082 - ์ฐ๊ฒฐ์ด ์ข ๋ฃ๋๋ ์๊ฐ ์ด๋ฏธ ํด์ ๋ ๋ฉ๋ชจ๋ฆฌ ์์ญ์์ ์ฝํ ์ธ ์ฝ๊ธฐ๋ฅผ ์์ํ ์ ์๋ mod_http2์ ์ทจ์ฝ์ (read-after-free).
๊ฐ์ฅ ์ฃผ๋ชฉํ ๋งํ ๋น๋ณด์ ๋ณ๊ฒฝ ์ฌํญ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
- mod_proxy_balancer๋ ์ ๋ขฐํ ์ ์๋ ํผ์ด์ XSS/XSRF ๊ณต๊ฒฉ์ ๋ํ ๋ณดํธ ๊ธฐ๋ฅ์ ํฅ์ํ์ต๋๋ค.
- ์ธ์ /์ฟ ํค ๋ง๋ฃ ์๊ฐ ์ ๋ฐ์ดํธ ๊ฐ๊ฒฉ์ ๊ฒฐ์ ํ๊ธฐ ์ํด SessionExpiryUpdateInterval ์ค์ ์ด mod_session์ ์ถ๊ฐ๋์์ต๋๋ค.
- ์ค๋ฅ๊ฐ ์๋ ํ์ด์ง๋ ํด๋น ํ์ด์ง์ ์์ฒญ์์ ์ ๋ณด ํ์๋ฅผ ์ ๊ฑฐํ๊ธฐ ์ํด ์ ๋ฆฌ๋์์ต๋๋ค.
- mod_http2๋ ์ด์ ์ HTTP/1.1 ํค๋ ํ๋๋ฅผ ํ์ธํ๋ ๋ฐ๋ง ์ ํจํ๋ "LimitRequestFieldSize" ๋งค๊ฐ๋ณ์์ ๊ฐ์ ๊ณ ๋ คํฉ๋๋ค.
- BalancerMember์์ ์ฌ์ฉ๋ ๋ mod_proxy_hcheck ๊ตฌ์ฑ์ด ์์ฑ๋๋์ง ํ์ธํฉ๋๋ค.
- ๋๊ท๋ชจ ์ปฌ๋ ์ ์์ PROPFIND ๋ช ๋ น์ ์ฌ์ฉํ ๋ mod_dav์ ๋ฉ๋ชจ๋ฆฌ ์๋น๊ฐ ๊ฐ์ํ์ต๋๋ค.
- mod_proxy ๋ฐ mod_ssl์์ ํ๋ก์ ๋ธ๋ก ๋ด๋ถ์ ์ธ์ฆ์ ๋ฐ SSL ์ค์ ์ง์ ๊ณผ ๊ด๋ จ๋ ๋ฌธ์ ๊ฐ ํด๊ฒฐ๋์์ต๋๋ค.
- mod_proxy๋ฅผ ์ฌ์ฉํ๋ฉด SSLProxyCheckPeer* ์ค์ ์ ๋ชจ๋ ํ๋ก์ ๋ชจ๋์ ์ ์ฉํ ์ ์์ต๋๋ค.
- ๋ชจ๋ ๊ธฐ๋ฅ ํ์ฅ
mod_md ,์ ์ํด ๊ฐ๋ฐ ๋ ACME(์๋ ์ธ์ฆ์ ๊ด๋ฆฌ ํ๊ฒฝ) ํ๋กํ ์ฝ์ ์ฌ์ฉํ์ฌ ์ธ์ฆ์ ์์ ๋ฐ ์ ์ง ๊ด๋ฆฌ๋ฅผ ์๋ํํ๋ Let's Encrypt ํ๋ก์ ํธ:- ํ๋กํ ์ฝ์ ๋ ๋ฒ์งธ ๋ฒ์ ์ด ์ถ๊ฐ๋์์ต๋๋ค.
ACMEv2 , ์ด๋ ์ด์ ๊ธฐ๋ณธ๊ฐ์ด๋ฉฐะธัะฟะพะปัะทัะตั GET ๋์ ๋น POST ์์ฒญ. - HTTP/01์์ ์ฌ์ฉ๋๋ TLS-ALPN-7301 ํ์ฅ(RFC 2, ์ ํ๋ฆฌ์ผ์ด์ ๊ณ์ธต ํ๋กํ ์ฝ ํ์)์ ๊ธฐ๋ฐ์ผ๋ก ๊ฒ์ฆ์ ๋ํ ์ง์์ด ์ถ๊ฐ๋์์ต๋๋ค.
- 'tls-sni-01' ํ์ธ ๋ฐฉ๋ฒ์ ๋ํ ์ง์์ด ์ค๋จ๋์์ต๋๋ค.
์ทจ์ฝ์ ). - 'dns-01' ๋ฐฉ๋ฒ์ ์ฌ์ฉํ์ฌ ๊ฒ์ฌ๋ฅผ ์ค์ ํ๊ณ ์ค๋จํ๊ธฐ ์ํ ๋ช ๋ น์ด ์ถ๊ฐ๋์์ต๋๋ค.
- ์ถ๊ฐ ์ง์
๋ง์คํฌ DNS ๊ธฐ๋ฐ ํ์ธ์ด ํ์ฑํ๋ ๊ฒฝ์ฐ ์ธ์ฆ์('dns-01'). - 'md-status' ์ฒ๋ฆฌ๊ธฐ์ ์ธ์ฆ์ ์ํ ํ์ด์ง 'https://domain/.httpd/certificate-status'๋ฅผ ๊ตฌํํ์ต๋๋ค.
- ์ ์ ํ์ผ์ ํตํด ๋๋ฉ์ธ ๋งค๊ฐ๋ณ์๋ฅผ ๊ตฌ์ฑํ๊ธฐ ์ํ "MDCertificateFile" ๋ฐ "MDCertificateKeyFile" ์ง์๋ฌธ์ ์ถ๊ฐํ์ต๋๋ค(์๋ ์ ๋ฐ์ดํธ ์ง์ ์์).
- '๊ฐฑ์ ', '๋ง๋ฃ' ๋๋ '์ค๋ฅ' ์ด๋ฒคํธ๊ฐ ๋ฐ์ํ ๋ ์ธ๋ถ ๋ช ๋ น์ ํธ์ถํ๊ธฐ ์ํ "MDMessageCmd" ์ง์๋ฌธ์ ์ถ๊ฐํ์ต๋๋ค.
- ์ธ์ฆ์ ๋ง๋ฃ์ ๋ํ ๊ฒฝ๊ณ ๋ฉ์์ง๋ฅผ ๊ตฌ์ฑํ๊ธฐ ์ํด "MDWarnWindow" ์ง์๋ฌธ์ ์ถ๊ฐํ์ต๋๋ค.
- ํ๋กํ ์ฝ์ ๋ ๋ฒ์งธ ๋ฒ์ ์ด ์ถ๊ฐ๋์์ต๋๋ค.
์ถ์ฒ : opennet.ru