-
CVE-2020-11984 — အထူးပြုလုပ်ထားသော တောင်းဆိုချက်တစ်ခုပေးပို့သည့်အခါ ဆာဗာပေါ်တွင် အချက်အလက်ပေါက်ကြားမှု သို့မဟုတ် ကုဒ်လုပ်ဆောင်မှုကို ဖြစ်ပေါ်စေနိုင်သည့် mod_proxy_uwsgi မော်ဂျူးတွင် ကြားခံပြည့်လျှံမှု။ အလွန်ရှည်လျားသော HTTP ခေါင်းစီးကို ပေးပို့ခြင်းဖြင့် အားနည်းချက်ကို အသုံးချသည်။ အကာအကွယ်အတွက်၊ 16K ထက် ပိုရှည်သော ခေါင်းစီးများကို ပိတ်ဆို့ထားသည် (ပရိုတိုကော သတ်မှတ်ချက်တွင် သတ်မှတ်ထားသည့် ကန့်သတ်ချက်)။ -
CVE-2020-11993 — အထူးဒီဇိုင်းထုတ်ထားသော HTTP/2 ခေါင်းစီးဖြင့် တောင်းဆိုချက်တစ်ခုပေးပို့သည့်အခါ လုပ်ငန်းစဉ်ကို ပျက်စီးသွားစေသည့် mod_http2 မော်ဂျူးရှိ အားနည်းချက်တစ်ခု။ mod_http2 module တွင် အမှားရှာပြင်ခြင်း သို့မဟုတ် ခြေရာခံခြင်းကို ဖွင့်ထားသည့်အခါ ပြဿနာသည် ၎င်းကို မှတ်တမ်းတွင် သိမ်းဆည်းသည့်အခါ ပြိုင်ပွဲအခြေအနေတစ်ခုကြောင့် မမ်မိုရီအကြောင်းအရာ ပျက်စီးခြင်းတွင် ထင်ဟပ်နေပါသည်။ LogLevel ကို “info” ဟု သတ်မှတ်သောအခါ ပြဿနာပေါ်လာမည်မဟုတ်ပါ။ -
CVE-2020-9490 — အထူးဒီဇိုင်းထုတ်ထားသော 'Cache-Digest' ခေါင်းစီးတန်ဖိုးဖြင့် HTTP/2 မှတစ်ဆင့် တောင်းဆိုချက်တစ်ခုပေးပို့သည့်အခါ လုပ်ငန်းစဉ်ပျက်သွားစေရန် ခွင့်ပြုသည့် mod_http2 မော်ဂျူးရှိ အားနည်းချက်တစ်ခု (အရင်းအမြစ်တစ်ခုပေါ်တွင် HTTP/2 PUSH လုပ်ဆောင်ချက်ကို လုပ်ဆောင်ရန်ကြိုးစားသည့်အခါ ပျက်ကျသွားသည်) . အားနည်းချက်ကို ပိတ်ဆို့ရန်အတွက် သင်သည် “H2Push off” ဆက်တင်ကို အသုံးပြုနိုင်သည်။ -
CVE-2020-11985 — mod_remoteip နှင့် mod_rewrite ကိုအသုံးပြု၍ proxying လုပ်နေစဉ်အတွင်း IP လိပ်စာများကို အတုအယောင်ပြုလုပ်နိုင်စေသည့် mod_remoteip အားနည်းချက်။ 2.4.1 မှ 2.4.23 ထုတ်ဝေမှုများအတွက်သာ ပြဿနာပေါ်လာသည်။
အထင်ရှားဆုံးသော လုံခြုံရေးမဟုတ်သော အပြောင်းအလဲများ-
- မူကြမ်းသတ်မှတ်ချက်အတွက် ပံ့ပိုးမှုကို mod_http2 မှ ဖယ်ရှားလိုက်ပါပြီ။
kazuho-h2-cache-digest အဘယ်သူ၏ ပရိုမိုးရှင်းကို ရပ်လိုက်သနည်း။ - mod_http2 တွင် "LimitRequestFields" ညွှန်ကြားချက်၏ အမူအကျင့်ကို ပြောင်းလဲခဲ့သည်၊ 0 တန်ဖိုးတစ်ခု သတ်မှတ်ခြင်းသည် ယခုအခါ ကန့်သတ်ချက်ကို ပိတ်လိုက်ပါပြီ။
- mod_http2 သည် မူလနှင့် အလယ်တန်း (မာစတာ/အလယ်တန်း) ချိတ်ဆက်မှုများကို လုပ်ဆောင်ခြင်းနှင့် အသုံးပြုမှုပေါ်မူတည်၍ နည်းလမ်းများကို အမှတ်အသားပြုပေးပါသည်။
- မမှန်ကန်သော နောက်ဆုံးပြင်ဆင်ထားသော ခေါင်းစီးအကြောင်းအရာကို FCGI/CGI script တစ်ခုမှ လက်ခံရရှိပါက၊ Unix ခေတ်တွင် အစားထိုးမည့်အစား ဤခေါင်းစီးအား ယခုအခါ ဖယ်ရှားလိုက်ပါသည်။
- အကြောင်းအရာအရွယ်အစားကို တိကျစွာခွဲခြမ်းစိတ်ဖြာရန် ap_parse_strict_length() လုပ်ဆောင်ချက်ကို ကုဒ်တွင် ထည့်သွင်းထားသည်။
- Mod_proxy_fcgi ၏ ProxyFCGISetEnvIf သည် ပေးထားသောအသုံးအနှုန်းများ False ပြန်ဖြစ်လာပါက ပတ်ဝန်းကျင် variable များကို ဖယ်ရှားကြောင်း သေချာစေသည်။
- SSLProxyMachineCertificateFile ဆက်တင်မှတစ်ဆင့် သတ်မှတ်ထားသော client လက်မှတ်ကို အသုံးပြုသောအခါ ပြိုင်ပွဲအခြေအနေနှင့် ဖြစ်နိုင်ခြေရှိသော mod_ssl ပျက်ကျမှုကို ပြင်ဆင်ခဲ့သည်။
- mod_ssl တွင် ပုံသေမှတ်ဉာဏ်ယိုစိမ့်မှု။
- mod_proxy_http2 သည် proxy parameter ၏အသုံးပြုမှုကို ပံ့ပိုးပေးသည် "
ping ရဲ့ » backend သို့ အသစ် သို့မဟုတ် ပြန်သုံးထားသော ချိတ်ဆက်မှု၏ လုပ်ဆောင်နိုင်စွမ်းကို စစ်ဆေးသည့်အခါ။ - mod_systemd ကိုဖွင့်ထားသောအခါတွင် "-lsystemd" ရွေးချယ်မှုဖြင့် httpd ကို ချိတ်ဆက်မှု ရပ်သွားသည် ။
- mod_proxy_http2 သည် backend သို့ချိတ်ဆက်မှုများမှတဆင့်ဝင်လာသောဒေတာကိုစောင့်ဆိုင်းသောအခါ ProxyTimeout ဆက်တင်ကိုထည့်သွင်းစဉ်းစားကြောင်းသေချာစေသည်။
source: opennet.ru