ProHoster > Blog > интернет жаңылыктары > Apache 2.4.46 http серверинин релизи, кемчиликтери оңдолгон

Apache 2.4.46 http серверинин релизи, кемчиликтери оңдолгон

жарыяланган Apache HTTP серверинин 2.4.46 чыгаруусу (2.4.44 жана 2.4.45 релиздери өткөрүп жиберилген), ал киргизилген 17 өзгөртүү жана жок кылынды 3 аялуу:

  • CVE-2020-11984 — mod_proxy_uwsgi модулундагы буфердин толуп кетиши, бул атайын даярдалган суроо-талапты жөнөтүүдө маалыматтын агып кетишине же серверде коддун аткарылышына алып келиши мүмкүн. Аялуу абдан узун HTTP башын жөнөтүү аркылуу пайдаланылат. Коргоо үчүн 16Кдан узунураак аталыштарды бөгөттөө кошулду (протоколдун спецификациясында аныкталган чек).
  • CVE-2020-11993 — атайын иштелип чыккан HTTP/2 аталышы менен суроо-талапты жөнөтүүдө процесстин бузулушуна мүмкүндүк берген mod_http2 модулунун алсыздыгы. Көйгөй mod_http2 модулунда мүчүлүштүктөрдү оңдоо же көзөмөлдөө иштетилгенде пайда болот жана маалыматты журналга сактоодо жарыш шартынан улам эстутум мазмунунун бузулушунда чагылдырылат. LogLevel "маалымат" деп коюлганда көйгөй пайда болбойт.
  • CVE-2020-9490 — атайын иштелип чыккан "Кэш-Дигест" аталышынын мааниси менен HTTP/2 аркылуу сурам жөнөтүүдө процесстин бузулушуна мүмкүндүк берген mod_http2 модулунун алсыздыгы (булчукта HTTP/2 PUSH операциясын аткарууга аракет кылганда бузулуу пайда болот) . Алсыздыкты бөгөттөө үчүн "H2Push өчүрүү" жөндөөсүн колдонсоңуз болот.
  • CVE-2020-11985 — mod_remoteip жана mod_rewrite аркылуу проксисиндөө учурунда IP даректерин бурмалоого мүмкүндүк берген mod_remoteip аялуулугу. Көйгөй 2.4.1ден 2.4.23кө чейинки релиздерде гана пайда болот.

Эң көрүнүктүү коопсуздук эмес өзгөрүүлөр:

  • Долбоор спецификациясын колдоо mod_http2ден алынып салынды kazuho-h2-кэш-дайджестжылдыруу токтотулган.
  • mod_http2деги "LimitRequestFields" директивасынын жүрүм-туруму өзгөртүлдү, 0 мааниси эми чекти өчүрөт;
  • mod_http2 негизги жана кошумча (мастер/экинчи) байланыштарды иштетүүнү жана колдонууга жараша ыкмаларды белгилөөнү камсыз кылат.
  • Эгер FCGI/CGI скриптинен туура эмес Акыркы Модификацияланган аталыштын мазмуну алынса, бул аталыш Unix доорунда алмаштырылгандан көрө азыр алынып салынат.
  • Ап_parse_strict_length() функциясы мазмундун өлчөмүн катуу талдоо үчүн кодго кошулган.
  • Mod_proxy_fcgi'нин ProxyFCGISetEnvIf эгер берилген туюнтма False деп кайтарса, чөйрө өзгөрмөлөрүнүн жок кылынышын камсыздайт.
  • SSLProxyMachineCertificateFile жөндөөлөрү аркылуу көрсөтүлгөн кардар сертификатын колдонууда жарыш шарты жана мүмкүн болгон mod_ssl катасы оңдолду.
  • mod_ssl ичинде эстутумдун агып кетиши оңдолду.
  • mod_proxy_http2 прокси параметрин колдонууну камсыз кылат "пинг» жаңы же кайра колдонулган байланыштын иштешин текшерүүдө.
  • mod_systemd иштетилгенде "-lsystemd" опциясы менен httpd байланыштыруу токтотулду.
  • mod_proxy_http2 ProxyTimeout жөндөөлөрү арткы түйүнгө туташуулар аркылуу келген маалыматтарды күтүүдө эске алынышын камсыздайт.

Source: opennet.ru

Комментарий кошуу