ProHoster > Blogs > interneta ziņas > Apache 2.4.46 http servera laidiens ar labotu ievainojamību

Apache 2.4.46 http servera laidiens ar labotu ievainojamību

publicēts Apache HTTP servera 2.4.46 izlaidums (laidieni 2.4.44 un 2.4.45 tika izlaisti), kas ieviesa 17 izmaiņas un likvidēts 3 ievainojamības:

  • CVE-2020-11984 — mod_proxy_uwsgi moduļa bufera pārpilde, kas var izraisīt informācijas noplūdi vai koda izpildi serverī, nosūtot īpaši izstrādātu pieprasījumu. Ievainojamība tiek izmantota, nosūtot ļoti garu HTTP galveni. Aizsardzībai ir pievienota virsrakstu bloķēšana, kas garākas par 16 K (protokola specifikācijā noteikts ierobežojums).
  • CVE-2020-11993 — mod_http2 moduļa ievainojamība, kas ļauj procesam avarēt, nosūtot pieprasījumu ar īpaši izstrādātu HTTP/2 galveni. Problēma izpaužas, kad mod_http2 modulī ir iespējota atkļūdošana vai izsekošana, un tā tiek atspoguļota kā atmiņas satura bojājums sacensību stāvokļa dēļ, saglabājot informāciju žurnālā. Problēma neparādās, ja LogLevel ir iestatīts uz “info”.
  • CVE-2020-9490 — mod_http2 moduļa ievainojamība, kas ļauj procesam avarēt, nosūtot pieprasījumu, izmantojot HTTP/2 ar īpaši izstrādātu 'Cache-Digest' galvenes vērtību (avārija notiek, mēģinot veikt HTTP/2 PUSH darbību resursam) . Lai bloķētu ievainojamību, varat izmantot iestatījumu “H2Push off”.
  • CVE-2020-11985 — mod_remoteip ievainojamība, kas ļauj viltot IP adreses starpniekservera laikā, izmantojot mod_remoteip un mod_rewrite. Problēma parādās tikai laidieniem no 2.4.1 līdz 2.4.23.

Ievērojamākās ar drošību nesaistītās izmaiņas:

  • Specifikāciju uzmetuma atbalsts ir noņemts no mod_http2 kazuho-h2-cache-digest, kura reklamēšana ir apturēta.
  • Mainīta direktīvas "LimitRequestFields" darbība mod_http2; norādot vērtību 0, tagad ierobežojums tiek atspējots.
  • mod_http2 nodrošina primāro un sekundāro (galveno/sekundāro) savienojumu apstrādi un metožu marķēšanu atkarībā no lietojuma.
  • Ja no FCGI/CGI skripta tiek saņemts nepareizs galvenes pēdējās izmaiņas saturs, šī galvene tagad tiek noņemta, nevis aizstāta Unix laikmeta laikā.
  • Funkcija ap_parse_strict_length() ir pievienota kodam, lai stingri parsētu satura lielumu.
  • Mod_proxy_fcgi's ProxyFCGISetEnvIf nodrošina, ka vides mainīgie tiek noņemti, ja dotā izteiksme atgriež False.
  • Novērsts sacensību nosacījums un iespējamā mod_ssl avārija, izmantojot klienta sertifikātu, kas norādīts iestatījumā SSLProxyMachineCertificateFile.
  • Novērsta atmiņas noplūde mod_ssl.
  • mod_proxy_http2 nodrošina starpniekservera parametra izmantošanuping» pārbaudot jauna vai atkārtoti izmantota savienojuma ar aizmugursistēmu funkcionalitāti.
  • Pārtraukta httpd saistīšana ar opciju "-lsystemd", kad mod_systemd ir iespējots.
  • mod_proxy_http2 nodrošina, ka ProxyTimeout iestatījums tiek ņemts vērā, gaidot ienākošos datus, izmantojot savienojumus ar aizmugursistēmu.

Avots: opennet.ru

Pievieno komentāru