ProHoster > Блог > интернет мэдээ > Apache 2.4.46 http серверийн хувилбар нь эмзэг байдлыг зассан

Apache 2.4.46 http серверийн хувилбар нь эмзэг байдлыг зассан

Нийтэлсэн Apache HTTP серверийн 2.4.46 хувилбар (2.4.44 болон 2.4.45 хувилбаруудыг алгассан) танилцуулсан. 17 өөрчлөлт мөн устгасан 3 эмзэг байдал:

  • CVE-2020-11984 — mod_proxy_uwsgi модулийн буфер халих нь тусгайлан боловсруулсан хүсэлтийг илгээх үед сервер дээр мэдээлэл алдагдах эсвэл кодыг гүйцэтгэхэд хүргэдэг. Энэ эмзэг байдлыг маш урт HTTP толгойг илгээх замаар ашигладаг. Хамгаалалтын үүднээс 16К-аас урт толгой хэсгийг блоклохыг нэмсэн (протоколын тодорхойлолтод заасан хязгаар).
  • CVE-2020-11993 — тусгайлан зохион бүтээсэн HTTP/2 толгойгоор хүсэлт илгээх үед процессыг сүйрүүлэх боломжийг олгодог mod_http2 модулийн эмзэг байдал. Асуудал нь mod_http2 модульд дибаг хийх эсвэл мөрдөхийг идэвхжүүлсэн үед илэрдэг бөгөөд мэдээллийг бүртгэлд хадгалах үед уралдааны нөхцөл байдлаас шалтгаалан санах ойн агуулгын эвдрэлд тусгагдсан байдаг. LogLevel-ийг "мэдээлэл" гэж тохируулсан үед асуудал гарахгүй.
  • CVE-2020-9490 — тусгайлан зохион бүтээсэн 'Cache-Digest' толгойн утгыг HTTP/2-ээр дамжуулан хүсэлт илгээх үед процессыг сүйрүүлэх боломжийг олгодог mod_http2 модулийн эмзэг байдал (нөөц дээр HTTP/2 PUSH үйлдлийг гүйцэтгэхийг оролдох үед гэмтэл гардаг) . Эмзэг байдлыг хаахын тулд та "H2Push off" тохиргоог ашиглаж болно.
  • CVE-2020-11985 — mod_remoteip болон mod_rewrite ашиглан прокси хийх явцад IP хаягийг хуурах боломжийг олгодог mod_remoteip эмзэг байдал. Асуудал нь зөвхөн 2.4.1-ээс 2.4.23 хүртэлх хувилбаруудад л гардаг.

Аюулгүй байдлын хамгийн чухал бус өөрчлөлтүүд нь:

  • mod_http2-с техникийн техникийн ноорог дэмжлэгийг хассан kazuho-h2-cache-digestурамшуулал нь зогссон .
  • mod_http2 дахь "LimitRequestFields" удирдамжийн үйлдлийг өөрчилсөн; 0 утгыг зааж өгснөөр одоо хязгаарыг идэвхгүй болгож байна.
  • mod_http2 нь үндсэн болон хоёрдогч (мастер/хоёрдогч) холболтыг боловсруулах, ашиглалтаас хамааран аргуудын тэмдэглэгээг өгдөг.
  • Хэрэв FCGI/CGI скриптээс Сүүлд өөрчилсөн толгой хэсгийн буруу контентыг хүлээн авсан бол энэ толгойг Unix-ийн эрин үед солихын оронд устгасан болно.
  • Агуулгын хэмжээг нарийн задлан шинжлэхийн тулд ap_parse_strict_length() функцийг кодонд нэмсэн.
  • Mod_proxy_fcgi-ийн ProxyFCGISetEnvIf нь өгөгдсөн илэрхийлэл нь Худал гэж буцаах тохиолдолд орчны хувьсагчдыг устгахыг баталгаажуулдаг.
  • SSLProxyMachineCertificateFile тохиргоогоор заасан үйлчлүүлэгчийн гэрчилгээг ашиглах үед уралдааны нөхцөл болон болзошгүй mod_ssl гацлыг зассан.
  • mod_ssl дахь санах ойн алдагдлыг зассан.
  • mod_proxy_http2 нь прокси параметрийн хэрэглээг хангадаг "ширээний» арын хэсэгт шинээр эсвэл дахин ашигласан холболтын ажиллагааг шалгах үед.
  • Mod_systemd идэвхжсэн үед httpd-г "-lsystemd" сонголтоор холбохыг зогсоосон.
  • mod_proxy_http2 нь арын холболтоор дамжуулан ирж буй өгөгдлийг хүлээж байх үед ProxyTimeout тохиргоог анхаарч үзэхийг баталгаажуулдаг.

Эх сурвалж: opennet.ru

сэтгэгдэл нэмэх