Apache 2.4.41 HTTP सर्व्हर रिलीझ असुरक्षा निश्चित

प्रकाशित Apache HTTP सर्व्हर 2.4.41 चे प्रकाशन (रिलीज 2.4.40 वगळण्यात आले), जे सादर केले 23 बदल आणि काढून टाकले 6 असुरक्षा:

• सीव्हीई- 2019-10081 mod_http2 मधील एक समस्या आहे ज्यामुळे पुश रिक्वेस्ट पाठवताना मेमरी खराब होऊ शकते. "H2PushResource" सेटिंग वापरताना, विनंती प्रक्रिया पूलमध्ये मेमरी ओव्हरराइट करणे शक्य आहे, परंतु समस्या क्रॅशपर्यंत मर्यादित आहे कारण लिहीलेला डेटा क्लायंटकडून मिळालेल्या माहितीवर आधारित नाही;
• सीव्हीई- 2019-9517 - अलीकडील एक्सपोजर घोषित केले HTTP/2 अंमलबजावणीमध्ये DoS भेद्यता.
  आक्रमणकर्ता प्रक्रियेसाठी उपलब्ध मेमरी संपुष्टात आणू शकतो आणि निर्बंधांशिवाय डेटा पाठवण्यासाठी सर्व्हरसाठी स्लाइडिंग HTTP/2 विंडो उघडून एक भारी CPU लोड तयार करू शकतो, परंतु TCP विंडो बंद ठेवून, डेटा प्रत्यक्षात सॉकेटवर लिहिण्यापासून प्रतिबंधित करतो;
• सीव्हीई- 2019-10098 - mod_rewrite मधील समस्या, जी तुम्हाला इतर संसाधनांवर विनंत्या फॉरवर्ड करण्यासाठी सर्व्हर वापरण्याची परवानगी देते (ओपन रीडायरेक्ट). काही mod_rewrite सेटिंग्जमुळे वापरकर्त्याला दुसर्‍या दुव्यावर फॉरवर्ड केले जाऊ शकते, विद्यमान रीडायरेक्टमध्ये वापरल्या जाणार्‍या पॅरामीटरमध्ये नवीन लाइन वर्ण वापरून एन्कोड केले जाऊ शकते. RegexDefaultOptions मध्ये समस्या अवरोधित करण्यासाठी, तुम्ही PCRE_DOTALL ध्वज वापरू शकता, जो आता डीफॉल्टनुसार सेट केलेला आहे;
• सीव्हीई- 2019-10092 - mod_proxy द्वारे प्रदर्शित केलेल्या त्रुटी पृष्ठांवर क्रॉस-साइट स्क्रिप्टिंग करण्याची क्षमता. या पृष्ठांवर, दुव्यामध्ये विनंतीवरून प्राप्त केलेली URL असते, ज्यामध्ये आक्रमणकर्ता कॅरेक्टर एस्केपिंगद्वारे अनियंत्रित HTML कोड घालू शकतो;
• सीव्हीई- 2019-10097 mod_remoteip मध्ये स्टॅक ओव्हरफ्लो आणि NULL पॉइंटर डिरेफरन्स, PROXY प्रोटोकॉल हेडरच्या हाताळणीद्वारे शोषण. हल्ला केवळ सेटिंग्जमध्ये वापरलेल्या प्रॉक्सी सर्व्हरच्या बाजूने केला जाऊ शकतो, आणि क्लायंटच्या विनंतीद्वारे नाही;
• सीव्हीई- 2019-10082 - mod_http2 मधील एक भेद्यता जी कनेक्शन संपुष्टात येण्याच्या क्षणी, आधीपासून मुक्त केलेल्या मेमरी क्षेत्रातून सामग्रीचे वाचन सुरू करण्यास परवानगी देते (वाचल्यानंतर-मुक्त).

सर्वात लक्षणीय गैर-सुरक्षा बदल:

• mod_proxy_balancer ने विश्वासू समवयस्कांकडून XSS/XSRF हल्ल्यांपासून संरक्षण सुधारले आहे;
• सत्र/कुकी कालबाह्यता वेळ अद्यतनित करण्यासाठी मध्यांतर निश्चित करण्यासाठी mod_session मध्ये SessionExpiryUpdateInterval सेटिंग जोडली गेली आहे;
• त्रुटी असलेली पृष्ठे साफ केली गेली, ज्याचा उद्देश या पृष्ठांवरील विनंत्यांमधून माहितीचे प्रदर्शन काढून टाकणे आहे;
• mod_http2 हे “LimitRequestFieldSize” पॅरामीटरचे मूल्य विचारात घेते, जे पूर्वी फक्त HTTP/1.1 हेडर फील्ड तपासण्यासाठी वैध होते;
• BalancerMember मध्ये वापरताना mod_proxy_hcheck कॉन्फिगरेशन तयार केले आहे याची खात्री करते;
• मोठ्या संग्रहावर PROPFIND कमांड वापरताना mod_dav मधील मेमरी वापर कमी होतो;
• mod_proxy आणि mod_ssl मध्ये, प्रॉक्सी ब्लॉकमधील प्रमाणपत्र आणि SSL सेटिंग्ज निर्दिष्ट करण्याच्या समस्यांचे निराकरण केले गेले आहे;
• mod_proxy SSLProxyCheckPeer* सेटिंग्ज सर्व प्रॉक्सी मॉड्यूल्सवर लागू करण्याची परवानगी देते;
• मॉड्यूल क्षमता विस्तारित mod_md, विकसित ACME (ऑटोमॅटिक सर्टिफिकेट मॅनेजमेंट एन्व्हायर्नमेंट) प्रोटोकॉल वापरून प्रमाणपत्रांची पावती आणि देखभाल स्वयंचलित करण्यासाठी प्रकल्प एन्क्रिप्ट करू:
  • प्रोटोकॉलची दुसरी आवृत्ती जोडली एसीएमईव्ही२, जे आता डीफॉल्ट आहे आणि वापरते GET ऐवजी रिक्त POST विनंत्या.
  • HTTP/01 मध्ये वापरल्या जाणार्‍या TLS-ALPN-7301 विस्तार (RFC 2, ऍप्लिकेशन-लेयर प्रोटोकॉल निगोशिएशन) वर आधारित पडताळणीसाठी समर्थन जोडले.
  • 'tls-sni-01' पडताळणी पद्धतीसाठी समर्थन बंद केले आहे (मुळे असुरक्षा).
  • 'dns-01' पद्धत वापरून चेक सेट करण्यासाठी आणि तोडण्यासाठी कमांड जोडल्या.
  • समर्थन जोडले मुखवटे प्रमाणपत्रांमध्ये जेव्हा DNS-आधारित सत्यापन सक्षम केले जाते ('dns-01').
  • 'md-status' हँडलर आणि प्रमाणपत्र स्थिती पृष्ठ 'https://domain/.httpd/certificate-status' लागू केले.
  • स्थिर फाइल्सद्वारे (स्वयं-अपडेट समर्थनाशिवाय) डोमेन पॅरामीटर्स कॉन्फिगर करण्यासाठी "MDCertificateFile" आणि "MDCertificateKeyFile" निर्देश जोडले.
  • जेव्हा 'नूतनीकरण', 'कालबाह्य' किंवा 'त्रुटी' घटना घडतात तेव्हा बाह्य आदेशांना कॉल करण्यासाठी "MDMessageCmd" निर्देश जोडला.
  • प्रमाणपत्र कालबाह्यतेबद्दल चेतावणी संदेश कॉन्फिगर करण्यासाठी "MDWarnWindow" निर्देश जोडले;

स्त्रोत: opennet.ru