🥇ປ່ອຍຕົວເຊີບເວີ Apache 2.4.41 http ທີ່ມີຊ່ອງໂຫວ່ຖືກແກ້ໄຂ

ຈັດພີມມາ ການປ່ອຍເຄື່ອງແມ່ຂ່າຍ Apache HTTP 2.4.41 (ການປ່ອຍ 2.4.40 ຖືກຂ້າມ), ເຊິ່ງໄດ້ນໍາສະເຫນີ 23 ການປ່ຽນແປງ ແລະລົບລ້າງ 6 ຈຸດອ່ອນ:

CVE-2019-10081 ເປັນບັນຫາໃນ mod_http2 ທີ່ສາມາດນໍາໄປສູ່ການສໍ້ລາດບັງຫຼວງຂອງຫນ່ວຍຄວາມຈໍາໃນເວລາທີ່ສົ່ງຄໍາຮ້ອງຂໍການຊຸກຍູ້ຢູ່ໃນຂັ້ນຕອນຕົ້ນຫຼາຍ. ເມື່ອນໍາໃຊ້ການຕັ້ງຄ່າ "H2PushResource", ມັນເປັນໄປໄດ້ທີ່ຈະຂຽນທັບຫນ່ວຍຄວາມຈໍາໃນສະນຸກເກີການປະມວນຜົນການຮ້ອງຂໍ, ແຕ່ບັນຫາໄດ້ຖືກຈໍາກັດກັບອຸປະຕິເຫດເນື່ອງຈາກວ່າຂໍ້ມູນທີ່ຖືກຂຽນບໍ່ໄດ້ອີງໃສ່ຂໍ້ມູນທີ່ໄດ້ຮັບຈາກລູກຄ້າ;
CVE-2019-9517 - ການເປີດເຜີຍຫຼ້າສຸດ ປະກາດ ຊ່ອງໂຫວ່ຂອງ DoS ໃນການຈັດຕັ້ງປະຕິບັດ HTTP/2.
ຜູ້ໂຈມຕີສາມາດຫມົດຄວາມຊົງຈໍາທີ່ມີຢູ່ໃນຂະບວນການແລະສ້າງການໂຫຼດ CPU ທີ່ຫນັກຫນ່ວງໂດຍການເປີດປ່ອງຢ້ຽມ HTTP / 2 ເລື່ອນສໍາລັບເຄື່ອງແມ່ຂ່າຍທີ່ຈະສົ່ງຂໍ້ມູນໂດຍບໍ່ມີຂໍ້ຈໍາກັດ, ແຕ່ປິດປ່ອງຢ້ຽມ TCP, ປ້ອງກັນບໍ່ໃຫ້ຂໍ້ມູນຖືກຂຽນໃສ່ເຕົ້າຮັບ;
CVE-2019-10098 - ບັນຫາໃນ mod_rewrite, ເຊິ່ງອະນຸຍາດໃຫ້ທ່ານໃຊ້ເຄື່ອງແມ່ຂ່າຍເພື່ອສົ່ງຕໍ່ຄໍາຮ້ອງຂໍໄປຫາຊັບພະຍາກອນອື່ນໆ (ເປີດ redirect). ບາງການຕັ້ງຄ່າ mod_rewrite ອາດຈະສົ່ງຜົນໃຫ້ຜູ້ໃຊ້ຖືກສົ່ງຕໍ່ໄປຫາການເຊື່ອມຕໍ່ອື່ນ, ເຂົ້າລະຫັດໂດຍໃຊ້ຕົວອັກສອນແຖວໃຫມ່ພາຍໃນພາລາມິເຕີທີ່ໃຊ້ໃນການປ່ຽນເສັ້ນທາງທີ່ມີຢູ່. ເພື່ອສະກັດບັນຫາໃນ RegexDefaultOptions, ທ່ານສາມາດນໍາໃຊ້ທຸງ PCRE_DOTALL, ເຊິ່ງໃນປັດຈຸບັນຖືກຕັ້ງໄວ້ເປັນຄ່າເລີ່ມຕົ້ນ;
CVE-2019-10092 - ຄວາມສາມາດໃນການປະຕິບັດຕົວອັກສອນຂ້າມເວັບໄຊໃນຫນ້າຜິດພາດສະແດງໂດຍ mod_proxy. ໃນຫນ້າເຫຼົ່ານີ້, ລິ້ງຄ໌ປະກອບມີ URL ທີ່ໄດ້ຮັບຈາກການຮ້ອງຂໍ, ໃນທີ່ຜູ້ໂຈມຕີສາມາດໃສ່ລະຫັດ HTML ດ້ວຍຕົນເອງໂດຍຜ່ານການ escaping ຕົວອັກສອນ;
CVE-2019-10097 — stack overflow ແລະ NULL pointer dereference ໃນ mod_remoteip, exploited ຜ່ານ manipulation ຂອງ PROXY protocol header. ການໂຈມຕີສາມາດເຮັດໄດ້ພຽງແຕ່ຈາກຂ້າງຂອງເຄື່ອງແມ່ຂ່າຍຕົວແທນທີ່ໃຊ້ໃນການຕັ້ງຄ່າ, ແລະບໍ່ແມ່ນຜ່ານຄໍາຮ້ອງຂໍຂອງລູກຄ້າ;
CVE-2019-10082 - ຊ່ອງໂຫວ່ໃນ mod_http2 ທີ່ອະນຸຍາດໃຫ້, ໃນເວລານີ້ຂອງການຢຸດການເຊື່ອມຕໍ່, ເພື່ອເລີ່ມຕົ້ນການອ່ານເນື້ອຫາຈາກພື້ນທີ່ຫນ່ວຍຄວາມຈໍາທີ່ຖືກປົດປ່ອຍແລ້ວ (ອ່ານຫຼັງຈາກຟຣີ).

ການປ່ຽນແປງທີ່ບໍ່ແມ່ນຄວາມປອດໄພທີ່ໂດດເດັ່ນທີ່ສຸດ:

mod_proxy_balancer ໄດ້ປັບປຸງການປ້ອງກັນການໂຈມຕີ XSS/XSRF ຈາກເພື່ອນມິດທີ່ເຊື່ອຖືໄດ້;
ການຕັ້ງຄ່າ SessionExpiryUpdateInterval ໄດ້ຖືກເພີ່ມເຂົ້າໃນ mod_session ເພື່ອກໍານົດໄລຍະເວລາສໍາລັບການປັບປຸງເວລາຫມົດອາຍຸຂອງ session / cookie;
ຫນ້າທີ່ມີຂໍ້ຜິດພາດໄດ້ຖືກອະນາໄມ, ເພື່ອແນໃສ່ກໍາຈັດການສະແດງຂໍ້ມູນຈາກການຮ້ອງຂໍຢູ່ໃນຫນ້າເຫຼົ່ານີ້;
mod_http2 ພິຈາລະນາມູນຄ່າຂອງພາລາມິເຕີ "LimitRequestFieldSize", ເຊິ່ງໃນເມື່ອກ່ອນແມ່ນໃຊ້ພຽງແຕ່ສໍາລັບການກວດສອບ HTTP/1.1 header fields;
ຮັບປະກັນວ່າການຕັ້ງຄ່າ mod_proxy_hcheck ຖືກສ້າງຂື້ນເມື່ອໃຊ້ໃນ BalancerMember;
ການຫຼຸດຜ່ອນການບໍລິໂພກຫນ່ວຍຄວາມຈໍາໃນ mod_dav ເມື່ອໃຊ້ຄໍາສັ່ງ PROPFIND ໃນການເກັບກໍາຂະຫນາດໃຫຍ່;
ໃນ mod_proxy ແລະ mod_ssl, ບັນຫາກ່ຽວກັບການກໍານົດໃບຢັ້ງຢືນແລະການຕັ້ງຄ່າ SSL ພາຍໃນບລັອກ Proxy ໄດ້ຖືກແກ້ໄຂແລ້ວ;
mod_proxy ອະນຸຍາດໃຫ້ການຕັ້ງຄ່າ SSLProxyCheckPeer* ຖືກນໍາໃຊ້ກັບທຸກໂມດູນຕົວແທນ;
ຂະຫຍາຍຄວາມສາມາດຂອງໂມດູນ mod_md, ພັດທະນາ ໃຫ້ໂຄງການເຂົ້າລະຫັດເພື່ອອັດຕະໂນມັດການຮັບ ແລະຮັກສາໃບຢັ້ງຢືນໂດຍໃຊ້ ACME (ສະພາບແວດລ້ອມການຈັດການໃບຢັ້ງຢືນອັດຕະໂນມັດ) ໂປຣໂຕຄໍ:
- ເພີ່ມສະບັບທີສອງຂອງໂປໂຕຄອນ ACMEv2, ເຊິ່ງໃນປັດຈຸບັນແມ່ນຄ່າເລີ່ມຕົ້ນແລະ ການນໍາໃຊ້ ການຮ້ອງຂໍ POST ຫວ່າງເປົ່າແທນທີ່ຈະເປັນ GET.
- ເພີ່ມການຮອງຮັບການຢັ້ງຢືນໂດຍອີງໃສ່ສ່ວນຂະຫຍາຍ TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), ເຊິ່ງໃຊ້ໃນ HTTP/2.
- ການສະຫນັບສະຫນູນວິທີການກວດສອບ 'tls-sni-01' ໄດ້ຢຸດເຊົາ (ເນື່ອງມາຈາກ ຄວາມອ່ອນແອ).
- ເພີ່ມຄໍາສັ່ງສໍາລັບການຕັ້ງຄ່າແລະທໍາລາຍການກວດສອບໂດຍໃຊ້ວິທີການ 'dns-01'.
- ເພີ່ມການສະຫນັບສະຫນູນ ໜ້າກາກ ໃນໃບຢັ້ງຢືນເມື່ອການພິສູດຢືນຢັນ DNS ຖືກເປີດໃຊ້ ('dns-01').
- ປະຕິບັດຕົວຈັດການ 'md-status' ແລະໜ້າສະຖານະໃບຮັບຮອງ 'https://domain/.httpd/certificate-status'.
- ເພີ່ມ "MDCertificateFile" ແລະ "MDCertificateKeyFile" ຄໍາສັ່ງສໍາລັບການຕັ້ງຄ່າຕົວກໍານົດການໂດເມນຜ່ານໄຟລ໌ຄົງທີ່ (ໂດຍບໍ່ມີການສະຫນັບສະຫນູນການອັບເດດອັດຕະໂນມັດ).
- ເພີ່ມຄໍາສັ່ງ "MDMessageCmd" ເພື່ອໂທຫາຄໍາສັ່ງພາຍນອກເມື່ອເຫດການ 'ຕໍ່ອາຍຸ', 'ຫມົດອາຍຸ' ຫຼື 'ຜິດພາດ' ເກີດຂຶ້ນ.
- ເພີ່ມ "MDWarnWindow" ຄໍາສັ່ງເພື່ອກໍາຫນົດຄ່າຂໍ້ຄວາມເຕືອນກ່ຽວກັບການຫມົດອາຍຸຂອງໃບຢັ້ງຢືນ;

ແຫຼ່ງຂໍ້ມູນ: opennet.ru

Apache 2.4.41 http server release with vulnerabilities fixed

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ