ProHoster > Dienoraštis > interneto naujienos > Apache 2.4.46 http serverio leidimas su ištaisytomis spragomis

Apache 2.4.46 http serverio leidimas su ištaisytomis spragomis

paskelbta Apache HTTP serverio 2.4.46 leidimas (2.4.44 ir 2.4.45 leidimai buvo praleisti), kuris pristatė 17 pakeitimų ir pašalintas 3 pažeidžiamumas:

  • CVE-2020-11984 — modulio mod_proxy_uwsgi buferio perpildymas, dėl kurio gali nutekėti informacija arba gali būti vykdomas kodas serveryje siunčiant specialiai sukurtą užklausą. Pažeidžiamumas išnaudojamas siunčiant labai ilgą HTTP antraštę. Apsaugai buvo pridėtas ilgesnių nei 16K antraštių blokavimas (protokolo specifikacijoje apibrėžta riba).
  • CVE-2020-11993 — modulio mod_http2 pažeidžiamumas, leidžiantis procesui užstrigti siunčiant užklausą su specialiai sukurta HTTP/2 antrašte. Problema išryškėja, kai modulyje mod_http2 įjungtas derinimas arba sekimas ir atsispindi atminties turinio sugadinimu dėl lenktynių sąlygų išsaugant informaciją žurnale. Problema nerodoma, kai LogLevel nustatytas į „info“.
  • CVE-2020-9490 — modulio mod_http2 pažeidžiamumas, leidžiantis procesui užstrigti siunčiant užklausą per HTTP/2 su specialiai sukurta „Cache-Digest“ antraštės reikšme (strigimas įvyksta bandant atlikti HTTP/2 PUSH operaciją su ištekliu) . Norėdami užblokuoti pažeidžiamumą, galite naudoti nustatymą „H2Push off“.
  • CVE-2020-11985 — mod_remoteip pažeidžiamumas, leidžiantis suklastoti IP adresus naudojant tarpinį serverį naudojant mod_remoteip ir mod_rewrite. Problema atsiranda tik 2.4.1–2.4.23 leidimuose.

Ryškiausi su saugumu nesusiję pokyčiai:

  • Specifikacijos juodraščio palaikymas pašalintas iš mod_http2 kazuho-h2-cache-digest, kurio reklama buvo sustabdyta.
  • Pakeitus „LimitRequestFields“ direktyvą mod_http2, nurodant reikšmę 0, riba dabar išjungiama.
  • mod_http2 suteikia pirminių ir antrinių (pagrindinių / antrinių) jungčių apdorojimą ir metodų žymėjimą, priklausomai nuo naudojimo.
  • Jei iš FCGI/CGI scenarijaus gaunamas neteisingas Paskutinį kartą pakeistas antraštės turinys, ši antraštė dabar pašalinama, o ne pakeista Unix epochos metu.
  • Funkcija ap_parse_strict_length() buvo pridėta prie kodo, kad būtų griežtai išanalizuotas turinio dydis.
  • Mod_proxy_fcgi ProxyFCGISetEnvIf užtikrina, kad aplinkos kintamieji būtų pašalinti, jei nurodyta išraiška grąžina False.
  • Ištaisyta lenktynių sąlyga ir galimas mod_ssl gedimas naudojant kliento sertifikatą, nurodytą SSLProxyMachineCertificateFile nustatymu.
  • Ištaisytas atminties nutekėjimas mod_ssl.
  • mod_proxy_http2 suteikia galimybę naudoti tarpinio serverio parametrą "zvimbimas» tikrinant naujo arba pakartotinai panaudoto ryšio su užpakaline programa funkcionalumą.
  • Nutrauktas httpd susiejimas su "-lsystemd" parinktimi, kai įjungta mod_systemd.
  • mod_proxy_http2 užtikrina, kad į ProxyTimeout nustatymą būtų atsižvelgta laukiant gaunamų duomenų per ryšius su užpakaline sistema.

Šaltinis: opennet.ru

Добавить комментарий