ProHoster > Π‘Π»ΠΎΠ³ > interrete nuntium > Apache 2.4.46 http servo release in vulnerabilities fixum

Apache 2.4.46 http servo release in vulnerabilities fixum

editis emissio Apache HTTP servo 2.4.46 (remissae 2.4.44 et 2.4.45 omittendae sunt), quae introductae sunt. 17 mutationes ac removeatur III vulnerabilities ":

  • CVE, 2020 11984, - quiddam redundat in mod_proxy_uwsgi moduli, qui ad informationem lacus vel codicem exsecutionem ducere potest in calculonis mittens petitionem specialem fabricatam. vulnerabilitas abutitur mittendo caput HTTP longissimum. Tutela interclusio capitis plusquam 16K addita est (limes in protocollo specificationis definitus).
  • CVE, 2020 11993, - vulnerabilitas in mod_http2 moduli qui permittit processum ad fragorem cum mittens petitionem cum specialiter designato HTTP/2 header. Problema se manifestat, cum debugging vel typum fieri potest in mod_http2 moduli, et in memoria contenta corruptionis resultat ob conditionem generi, cum informationes salvificae ad truncum. Problema non apparet cum LogLevel "info" positus est.
  • CVE, 2020 9490, - vulnerabilitas in mod_http2 moduli qui permittit processum ad fragorem cum mittens petitionem per HTTP/2 cum speciali designato "Cache-Digest" valoris capitis (fragor incidit cum conatur HTTP/II operam navare in subsidio) . Ad vulnerabilitatem angustos, uti potes "H2Push off" occasum.
  • CVE, 2020 11985, - mod_remoteip vulnerabilitas, quae te permittit ut inscriptiones IP spoof in procurando utendo mod_remoteip et mod_rescribe. Quaestio tantum apparet pro solvo 2.4.1 ad 2.4.23.

Praecipuae mutationes securitatis non- sunt:

  • Subsidium pro captura specificationis remotum est ex mod_http2 kazuho-h2-cache-cogestcuius promotio repressa est.
  • Mores "LimitRequestFields" directivi in ​​mod_http 2 mutaverunt, valor ipsius 0 nunc limitem disablet.
  • mod_http2 processus praebet coniunctiones primariae et secundariae (magistri/ secundariae) et notationem methodorum in usu pendentium.
  • Si non recte contentum capitis Last-Modificatum ab scripto FCGI/CGI recipitur, hoc caput nunc potius removetur quam in tempore Unix epochae substituitur.
  • Munus ap_parse_strict_length() in codice additum est ut magnitudo contenti stricte parse.
  • Mod_proxy_fcgi's ProxyFCGISetEnvIf efficit ut ambitus variabiles tollantur, si data expressio falsa revertitur.
  • Certum est genus conditionis et mod_ssl possibilis ruinae cum utens certificatorium clientis per certa SSLProxyMachineCertificateFile occasum.
  • Certae memoriae Leak in mod_ssl.
  • mod_proxy_http2 usum parametri procuratoris praebet "PingΒ» Cum iniecta functionality novae vel palimpsesto nexu ad backend.
  • Obturat optio httpd cum "-lsystemd" optio, cum mod_systemd datur.
  • mod_proxy_http2 efficit ut ProxyTimeout occasus ratio habeatur cum notitias advenientis per nexus ad backend expectans.

Source: opennet.ru