ProHoster > Blog > Internet Neiegkeeten > Apache 2.4.46 http Server Verëffentlechung mat Schwachstelle fixéiert

Apache 2.4.46 http Server Verëffentlechung mat Schwachstelle fixéiert

publizéiert Verëffentlechung vum Apache HTTP-Server 2.4.46 (Verëffentlechungen 2.4.44 an 2.4.45 goufen iwwersprangen), déi agefouert huet 17 Ännerungen an eliminéiert 3 Schwachstelle:

  • CVE-2020-11984 - e Puffer Iwwerschwemmung am mod_proxy_uwsgi Modul, wat zu Informatiounsleckage oder Code Ausféierung um Server féiere kann wann Dir eng speziell erstallt Ufro schéckt. D'Schwachheet gëtt exploitéiert andeems Dir e ganz laange HTTP Header schéckt. Fir Schutz ass d'Blockéierung vun Header méi laang wéi 16K bäigefüügt (eng Limit definéiert an der Protokollspezifikatioun).
  • CVE-2020-11993 - eng Schwachstelle am mod_http2 Modul, deen de Prozess erlaabt ze crashen wann Dir eng Ufro mat engem speziell entwéckelte HTTP/2 Header schéckt. De Problem manifestéiert sech wann Debugging oder Tracing am mod_http2 Modul ageschalt ass a gëtt an der Erënnerungsinhalter Korruptioun reflektéiert wéinst enger Coursebedingung wann Dir Informatioun an de Log späichert. De Problem erschéngt net wann LogLevel op "Info" gesat gëtt.
  • CVE-2020-9490 - eng Schwachstelle am mod_http2 Modul, deen et erlaabt e Prozess ze crashen wann Dir eng Ufro iwwer HTTP/2 schéckt mat engem speziell entwéckelte 'Cache-Digest' Header Wäert (de Crash geschitt wann Dir probéiert eng HTTP/2 PUSH Operatioun op enger Ressource auszeféieren) . Fir d'Schwachheet ze blockéieren, kënnt Dir d'Astellung "H2Push off" benotzen.
  • CVE-2020-11985 - mod_remoteip Schwachstelle, wat Iech erlaabt IP Adressen während Proxying mat mod_remoteip a mod_rewrite ze spoofen. De Problem erschéngt nëmme fir Verëffentlechungen 2.4.1 bis 2.4.23.

Déi bemierkenswäert Net-Sécherheetsännerungen:

  • Ënnerstëtzung fir Entworf Spezifizéierung gouf vum mod_http2 geläscht kazuho-h2-cache-digest, deem seng Promotioun gestoppt gouf.
  • Verännert d'Behuele vun der "LimitRequestFields" Direktiv am mod_http2; e Wäert vun 0 spezifizéiert elo deaktivéiert d'Limit.
  • mod_http2 stellt Veraarbechtung vun Primärschoul a Secondaire (Master / Secondaire) Verbindungen an Marquage vun Methoden je benotzen.
  • Wann falsche Last-Modified Header Inhalt vun engem FCGI/CGI Skript kritt gëtt, gëtt dësen Header elo geläscht anstatt an der Unix Epoch Zäit ersat.
  • D'Funktioun ap_parse_strict_length () gouf un de Code bäigefüügt fir d'Inhaltsgréisst strikt ze analyséieren.
  • Mod_proxy_fcgi's ProxyFCGISetEnvIf garantéiert datt Ëmfeldvariablen geläscht ginn wann de gegebene Ausdrock False zréckkënnt.
  • Fixéiert e Rennenbedingung a méigleche mod_ssl Crash wann Dir e Clientzertifika benotzt, deen iwwer d'SSLProxyMachineCertificateFile-Astellung spezifizéiert gouf.
  • Fixéiert Erënnerungsleck am mod_ssl.
  • mod_proxy_http2 bitt d'Benotzung vum Proxy-Parameter "Ping» wann Dir d'Funktionalitéit vun enger neier oder neier benotzter Verbindung mam Backend iwwerpréift.
  • Gestoppt Bindung httpd mat der "-lsystemd" Optioun wann mod_systemd aktivéiert ass.
  • mod_proxy_http2 garantéiert datt d'ProxyTimeout-Astellung berécksiichtegt gëtt wann Dir op erakommen Donnéeën duerch Verbindunge mam Backend waart.

Source: opennet.ru

Setzt e Commentaire