အားနည်းချက်များကို ပြင်ဆင်ပြီး Apache 2.4.41 http ဆာဗာ ထုတ်ဝေမှု

ထုတ်ဝေခဲ့သည်။ Apache HTTP ဆာဗာ 2.4.41 (ဖြန့်ချိမှု 2.4.40 ကို ကျော်သွားသည်) ကို မိတ်ဆက်ခဲ့သည်) 23 အပြောင်းအလဲ ဖယ်ထုတ်ပစ်လိုက်တယ်။ အားနည်းချက် ၃၅:

• CVE-2019-10081 အစောပိုင်းအဆင့်တွင် push တောင်းဆိုမှုများကို ပေးပို့သည့်အခါ မှတ်ဉာဏ်ယိုယွင်းမှုဖြစ်စေသည့် mod_http2 တွင် ပြဿနာတစ်ခုဖြစ်သည်။ "H2PushResource" ဆက်တင်ကိုအသုံးပြုသောအခါ၊ တောင်းဆိုချက်လုပ်ဆောင်ခြင်းအစုတွင် မမ်မိုရီကို ထပ်ရေးနိုင်သော်လည်း၊ ဒေတာရေးသားခြင်းသည် ကလိုင်းယင့်ထံမှရရှိသောအချက်အလက်များအပေါ်အခြေခံခြင်းမရှိသောကြောင့် ပျက်ကျသွားခြင်းအတွက် ကန့်သတ်ထားပါသည်။
• CVE-2019-9517 - လတ်တလော ထိတွေ့မှု ကြေငြာခဲ့သည်။ HTTP/2 အကောင်အထည်ဖော်မှုများတွင် DoS အားနည်းချက်များ။
  တိုက်ခိုက်သူသည် လုပ်ငန်းစဉ်တစ်ခုမှ ရရှိနိုင်သော memory ကို ကုန်ဆုံးစေပြီး ဆာဗာအတွက် လျှောလျှော HTTP/2 ဝင်းဒိုးကို ဖွင့်ခြင်းဖြင့် ဒေတာပေးပို့ရန် ကန့်သတ်ချက်များမရှိဘဲ TCP ဝင်းဒိုးကို ပိတ်ထားခြင်းဖြင့် ဒေတာများကို socket သို့ အမှန်တကယ်ရေးသားခြင်းမှ ကာကွယ်နိုင်သည်၊
• CVE-2019-10098 - အခြားအရင်းအမြစ်များသို့ တောင်းဆိုမှုများကို ပေးပို့ရန် ဆာဗာကို အသုံးပြုရန် ခွင့်ပြုသည့် mod_rewrite တွင် ပြဿနာတစ်ခု။ အချို့သော mod_rewrite ဆက်တင်များသည် ရှိပြီးသား redirect တွင်အသုံးပြုသည့် ကန့်သတ်ဘောင်အတွင်းမှ မျဉ်းအသစ်အက္ခရာကို အသုံးပြု၍ ကုဒ်လုပ်ထားသော အခြားလင့်ခ်တစ်ခုသို့ သုံးစွဲသူကို ထပ်ဆင့်ပို့စေနိုင်သည်။ RegexDefaultOptions တွင် ပြဿနာကို ပိတ်ဆို့ရန်၊ သင်သည် ယခု ပုံသေသတ်မှတ်ထားသည့် PCRE_DOTALL အလံကို အသုံးပြုနိုင်သည်။
• CVE-2019-10092 - mod_proxy မှပြသထားသောအမှားစာမျက်နှာများတွင်ဆိုက်နှစ်ခုစာရေးခြင်းလုပ်ဆောင်နိုင်စွမ်း။ ဤစာမျက်နှာများတွင်၊ လင့်ခ်သည် တောင်းဆိုချက်မှရရှိသော URL ပါ၀င်သည်၊ ၎င်းတွင် တိုက်ခိုက်သူသည် ဇာတ်ကောင်ထွက်ပြေးခြင်းမှတဆင့် မတရားသော HTML ကုဒ်ကို ထည့်သွင်းနိုင်သည်။
• CVE-2019-10097 — PROXY ပရိုတိုကော ခေါင်းစီးကို ခြယ်လှယ်ခြင်းဖြင့် အသုံးချကာ mod_remoteip ရှိ stack overflow နှင့် NULL pointer dereference ။ တိုက်ခိုက်မှုကို ဆက်တင်များတွင် အသုံးပြုသည့် ပရောက်စီဆာဗာ၏ တစ်ဖက်ခြမ်းမှသာ ဖောက်သည်တောင်းဆိုမှုမှမဟုတ်ဘဲ၊
• CVE-2019-10082 - ချိတ်ဆက်မှုရပ်စဲသည့်အချိန်တွင်၊ လွတ်ပြီးသားမမ်မိုရီဧရိယာမှ အကြောင်းအရာများကို စတင်ဖတ်ရှုရန် ခွင့်ပြုသည့် mod_http2 တွင် အားနည်းချက်တစ်ခု။

အထင်ရှားဆုံးသော လုံခြုံရေးမဟုတ်သော အပြောင်းအလဲများ-

• mod_proxy_balancer သည် ယုံကြည်ရသော ရွယ်တူများထံမှ XSS/XSRF တိုက်ခိုက်မှုများကို ပိုမိုကောင်းမွန်အောင် ကာကွယ်ထားပါသည်။
• စက်ရှင်/ကွတ်ကီး သက်တမ်းကုန်ဆုံးချိန်ကို အပ်ဒိတ်လုပ်ခြင်းအတွက် ကြားကာလကို ဆုံးဖြတ်ရန် SessionExpiryUpdateInterval ဆက်တင်ကို mod_session တွင် ထည့်သွင်းထားပါသည်။
• ဤစာမျက်နှာများပေါ်ရှိ တောင်းဆိုချက်များမှ အချက်အလက်ဖော်ပြမှုကို ဖယ်ရှားပစ်ရန် ရည်ရွယ်၍ အမှားအယွင်းရှိသော စာမျက်နှာများကို ရှင်းလင်းခဲ့သည်။
• mod_http2 သည် ယခင်က HTTP/1.1 ခေါင်းစီးအကွက်များကို စစ်ဆေးရန်အတွက်သာ တရားဝင်သော “LimitRequestFieldSize” ဘောင်၏တန်ဖိုးကို ထည့်သွင်းစဉ်းစားပါသည်။
• BalancerMember တွင်အသုံးပြုသောအခါ mod_proxy_hcheck configuration ကိုဖန်တီးထားကြောင်းသေချာပါစေ။
• ကြီးမားသောစုဆောင်းမှုတစ်ခုတွင် PROPFIND အမိန့်ကိုအသုံးပြုသောအခါ mod_dav တွင် မှတ်ဉာဏ်သုံးစွဲမှုကို လျှော့ချပါ။
• mod_proxy နှင့် mod_ssl တွင်၊ Proxy block အတွင်းရှိ လက်မှတ်နှင့် SSL ဆက်တင်များကို သတ်မှတ်ခြင်းဆိုင်ရာ ပြဿနာများကို ဖြေရှင်းပြီးပါပြီ။
• mod_proxy သည် SSLProxyCheckPeer* ဆက်တင်များကို ပရောက်စီ မော်ဂျူးများအားလုံးတွင် အသုံးပြုရန် ခွင့်ပြုသည်။
• Module စွမ်းရည်များကို ချဲ့ထွင်ခဲ့သည်။ mod_md, ဖွံ့ဖြိုးသည်။ ACME (Automatic Certificate Management Environment) ပရိုတိုကောကို အသုံးပြု၍ သက်သေခံလက်မှတ်များ၏ လက်ခံရရှိမှုနှင့် ထိန်းသိမ်းမှုကို အလိုအလျောက်လုပ်ဆောင်ရန် ပရောဂျက်ကို စာဝှက်ကြပါစို့-
  • ပရိုတိုကော၏ ဒုတိယဗားရှင်းကို ထည့်ထားသည်။ ACMEv2၊ ယခုမူလနှင့် အသုံးပြုမှု GET အစား ဗလာ POST တောင်းဆိုမှုများ။
  • HTTP/01 တွင်အသုံးပြုသည့် TLS-ALPN-7301 တိုးချဲ့မှု (RFC 2၊ Application-Layer Protocol Negotiation) ကိုအခြေခံ၍ အတည်ပြုခြင်းအတွက် ပံ့ပိုးမှု ထပ်လောင်းထည့်သွင်းထားသည်။
  • 'tls-sni-01' စိစစ်ရေးနည်းလမ်းအတွက် ပံ့ပိုးမှုကို ရပ်ဆိုင်းလိုက်ပါပြီ (ကြောင့်ပါ။ အားနည်းချက်များ).
  • 'dns-01' နည်းလမ်းကို အသုံးပြု၍ စစ်ဆေးမှုကို စနစ်ထည့်သွင်းခြင်းနှင့် ဖျက်ခြင်းအတွက် ညွှန်ကြားချက်များ ထည့်သွင်းထားသည်။
  • ပံ့ပိုးကူညီမှု တို့ကို ထည့်သွင်းခဲ့သည်။ မျက်နှာဖုံးများ DNS-based verification ကိုဖွင့်သောအခါ ('dns-01') လက်မှတ်များတွင်။
  • 'md-status' ကိုင်တွယ်သူနှင့် လက်မှတ်အခြေအနေစာမျက်နှာ 'https://domain/.httpd/certificate-status' ကို အကောင်အထည်ဖော်ခဲ့သည်။
  • ပုံသေဖိုင်များ (အလိုအလျောက်အပ်ဒိတ်မွမ်းမံမှု ပံ့ပိုးမှုမပါဘဲ) ဒိုမိန်းပါရာမီတာများကို ပြင်ဆင်သတ်မှတ်ခြင်းအတွက် "MDCertificateFile" နှင့် "MDCertificateKeyFile" ညွှန်ကြားချက်များကို ထည့်သွင်းထားသည်။
  • 'သက်တမ်းတိုးခြင်း'၊ 'သက်တမ်းကုန်ဆုံးခြင်း' သို့မဟုတ် 'အမှားအယွင်းများ' ဖြစ်ရပ်များ ပေါ်ပေါက်လာသောအခါတွင် ပြင်ပအမိန့်များကို ခေါ်ဆိုရန်အတွက် "MDMessageCmd" ညွှန်ကြားချက်ကို ထည့်သွင်းခဲ့သည်။
  • လက်မှတ်သက်တမ်းကုန်ဆုံးခြင်းနှင့်ပတ်သက်သောသတိပေးစာတစ်စောင်ကိုပြင်ဆင်ရန်အတွက် "MDWarnWindow" ညွှန်ကြားချက်ကို ထည့်သွင်းခဲ့သည်။

source: opennet.ru