🥇취약점이 수정된 Apache 2.4.46 http 서버 출시

게시 됨 Apache HTTP 서버 2.4.46 릴리스(릴리스 2.4.44 및 2.4.45는 건너뛰었음) 17 변경 사항 그리고 제거됨 3개의 취약점:

CVE-2020-11984 — mod_proxy_uwsgi 모듈의 버퍼 오버플로로 인해 특별히 제작된 요청을 보낼 때 서버에서 정보 유출이나 코드 실행이 발생할 수 있습니다. 이 취약점은 매우 긴 HTTP 헤더를 전송하여 악용됩니다. 보호를 위해 16K보다 긴 헤더 차단이 추가되었습니다(프로토콜 사양에 정의된 제한).
CVE-2020-11993 — 특별히 설계된 HTTP/2 헤더가 포함된 요청을 보낼 때 프로세스가 중단될 수 있는 mod_http2 모듈의 취약점입니다. 문제는 mod_http2 모듈에서 디버깅이나 추적이 활성화될 때 나타나고 로그에 정보를 저장할 때 경쟁 조건으로 인한 메모리 콘텐츠 손상에 반영됩니다. LogLevel이 "info"로 설정된 경우 문제가 나타나지 않습니다.
CVE-2020-9490 — 특별히 설계된 'Cache-Digest' 헤더 값을 사용하여 HTTP/2를 통해 요청을 보낼 때 프로세스가 충돌할 수 있게 하는 mod_http2 모듈의 취약점(충돌은 리소스에 대해 HTTP/2 PUSH 작업을 수행하려고 할 때 발생합니다) . 취약점을 차단하려면 “H2Push off” 설정을 사용할 수 있습니다.
CVE-2020-11985 — mod_remoteip 취약점, mod_remoteip 및 mod_rewrite를 사용하여 프록싱 중에 IP 주소를 스푸핑할 수 있습니다. 이 문제는 릴리스 2.4.1~2.4.23에서만 나타납니다.

가장 주목할만한 비보안 변경 사항은 다음과 같습니다.

초안 사양에 대한 지원이 mod_http2에서 제거되었습니다. kazuho-h2-캐시-다이제스트, 프로모션이 중단되었습니다.
mod_http2에서 "LimitRequestFields" 지시문의 동작을 변경했습니다. 이제 값을 0으로 지정하면 제한이 비활성화됩니다.
mod_http2는 기본 및 보조(마스터/보조) 연결 처리와 용도에 따른 메서드 표시를 제공합니다.
FCGI/CGI 스크립트에서 잘못된 Last-Modified 헤더 콘텐츠를 수신하는 경우 이제 이 헤더는 Unix epoch 시간에 교체되지 않고 제거됩니다.
콘텐츠 크기를 엄격하게 구문 분석하기 위해 ap_parse_strict_length() 함수가 코드에 추가되었습니다.
Mod_proxy_fcgi의 ProxyFCGISetEnvIf는 주어진 표현식이 False를 반환하는 경우 환경 변수가 제거되도록 보장합니다.
SSLProxyMachineCertificateFile 설정을 통해 지정된 클라이언트 인증서를 사용할 때 발생하는 경합 조건 및 가능한 mod_ssl 충돌을 수정했습니다.
mod_ssl의 메모리 누수를 수정했습니다.
mod_proxy_http2는 프록시 매개변수 사용을 제공합니다."핑» 백엔드에 대한 새로운 연결 또는 재사용된 연결의 기능을 확인할 때.
mod_systemd가 활성화된 경우 "-lsystemd" 옵션을 사용하여 httpd 바인딩을 중지했습니다.
mod_proxy_http2는 백엔드에 대한 연결을 통해 들어오는 데이터를 기다릴 때 ProxyTimeout 설정이 고려되도록 합니다.

취약점이 수정된 Apache 2.4.46 http 서버 출시