🥇 Apache 2.4.41 HTTP सर्भरको रिलिज कमजोरीहरू फिक्स गरियो

प्रकाशित Apache HTTP सर्भर 2.4.41 को रिलीज (रिलिज 2.4.40 छोडिएको थियो), जसले परिचय गर्यो 23 परिवर्तनहरू र हटाइयो 6 जोखिमहरू:

CVE-2019-10081 mod_http2 मा एउटा समस्या हो जसले धेरै प्रारम्भिक चरणमा पुश अनुरोधहरू पठाउँदा मेमोरी भ्रष्ट हुन सक्छ। "H2PushResource" सेटिङ प्रयोग गर्दा, अनुरोध प्रशोधन पूलमा मेमोरी अधिलेखन गर्न सम्भव छ, तर समस्या क्र्यासमा सीमित छ किनभने डाटा लेखिएको ग्राहकबाट प्राप्त जानकारीमा आधारित छैन;
CVE-2019-9517 - भर्खरको एक्सपोजर घोषणा गरे HTTP/2 कार्यान्वयनहरूमा DoS कमजोरीहरू।
एक आक्रमणकारीले प्रक्रियामा उपलब्ध मेमोरी समाप्त गर्न सक्छ र सर्भरको लागि प्रतिबन्ध बिना डाटा पठाउनको लागि स्लाइडिङ HTTP/2 विन्डो खोलेर भारी CPU लोड सिर्जना गर्न सक्छ, तर TCP विन्डो बन्द राखेर, तथ्याङ्कलाई सकेटमा लेख्नबाट रोक्दै;
CVE-2019-10098 - mod_rewrite मा एक समस्या, जसले तपाईंलाई अन्य स्रोतहरूमा अनुरोधहरू फर्वार्ड गर्न सर्भर प्रयोग गर्न अनुमति दिन्छ (खुला रिडिरेक्ट)। केहि mod_rewrite सेटिङहरूले प्रयोगकर्तालाई अर्को लिङ्कमा फर्वार्ड गरिन सक्छ, अवस्थित रिडिरेक्टमा प्रयोग गरिएको प्यारामिटर भित्र नयाँ लाइन क्यारेक्टर प्रयोग गरेर इन्कोड गरिएको। RegexDefaultOptions मा समस्या ब्लक गर्न, तपाइँ PCRE_DOTALL झण्डा प्रयोग गर्न सक्नुहुन्छ, जुन अब पूर्वनिर्धारित रूपमा सेट गरिएको छ;
CVE-2019-10092 - mod_proxy द्वारा प्रदर्शित त्रुटि पृष्ठहरूमा क्रस-साइट स्क्रिप्टिङ प्रदर्शन गर्ने क्षमता। यी पृष्ठहरूमा, लिङ्कले अनुरोधबाट प्राप्त URL समावेश गर्दछ, जसमा आक्रमणकारीले क्यारेक्टर एस्केपिङ मार्फत मनमानी HTML कोड घुसाउन सक्छ;
CVE-2019-10097 — mod_remoteip मा स्ट्याक ओभरफ्लो र NULL सूचक dereference, PROXY प्रोटोकल हेडरको हेरफेर मार्फत शोषण। आक्रमण सेटिङहरूमा प्रयोग गरिएको प्रोक्सी सर्भरको छेउबाट मात्र गर्न सकिन्छ, र ग्राहक अनुरोध मार्फत होइन;
CVE-2019-10082 - mod_http2 मा एक कमजोरी जसले जडान समाप्तिको क्षणमा, पहिले नै मुक्त मेमोरी क्षेत्र (पढ्न पछि-नि: शुल्क) बाट सामग्री पढ्न सुरु गर्न अनुमति दिन्छ।

सबैभन्दा उल्लेखनीय गैर-सुरक्षा परिवर्तनहरू हुन्:

mod_proxy_balancer ले विश्वसनीय साथीहरूबाट XSS/XSRF आक्रमणहरू विरुद्ध सुरक्षा सुधार गरेको छ;
सत्र/कुकीको म्याद समाप्त हुने समय अद्यावधिक गर्ने अन्तराल निर्धारण गर्न mod_session मा SessionExpiryUpdateInterval सेटिङ थपिएको छ;
त्रुटिहरू भएका पृष्ठहरू सफा गरियो, यी पृष्ठहरूमा भएका अनुरोधहरूबाट जानकारीको प्रदर्शन हटाउने उद्देश्यले;
mod_http2 ले "LimitRequestFieldSize" प्यारामिटरको मान लिन्छ, जुन पहिले HTTP/1.1 हेडर क्षेत्रहरू जाँच गर्नका लागि मात्र मान्य थियो;
BalancerMember मा प्रयोग गर्दा mod_proxy_hcheck कन्फिगरेसन सिर्जना भएको सुनिश्चित गर्दछ;
ठूलो संग्रहमा PROPFIND आदेश प्रयोग गर्दा mod_dav मा मेमोरी खपत घट्यो;
mod_proxy र mod_ssl मा, प्रोक्सी ब्लक भित्र प्रमाणपत्र र SSL सेटिङ निर्दिष्ट गर्ने समस्याहरू समाधान गरिएको छ;
mod_proxy ले SSLProxyCheckPeer* सेटिङहरूलाई सबै प्रोक्सी मोड्युलहरूमा लागू गर्न अनुमति दिन्छ;
मोड्युल क्षमताहरू विस्तार गरियो mod_md, विकसित ACME (स्वचालित प्रमाणपत्र व्यवस्थापन वातावरण) प्रोटोकल प्रयोग गरेर प्रमाणपत्रहरूको रसिद र मर्मत स्वचालित गर्न प्रोजेक्ट इन्क्रिप्ट गरौं:
- प्रोटोकलको दोस्रो संस्करण थपियो ACMEv2, जुन अब पूर्वनिर्धारित र उपयोगहरु GET को सट्टा खाली POST अनुरोधहरू।
- TLS-ALPN-01 विस्तार (RFC 7301, एप्लिकेसन-लेयर प्रोटोकल वार्तालाप) मा आधारित प्रमाणीकरणको लागि समर्थन थपियो, जुन HTTP/2 मा प्रयोग गरिन्छ।
- 'tls-sni-01' प्रमाणीकरण विधिको लागि समर्थन बन्द गरिएको छ (कारण कमजोरीहरू).
- 'dns-01' विधि प्रयोग गरेर चेक सेटअप गर्न र तोड्न आदेशहरू थपियो।
- समर्थन थपियो मास्क DNS-आधारित प्रमाणीकरण सक्षम हुँदा प्रमाणपत्रहरूमा ('dns-01')।
- लागू गरिएको 'md-status' ह्यान्डलर र प्रमाणपत्र स्थिति पृष्ठ 'https://domain/.httpd/certificate-status'।
- स्थिर फाइलहरू (स्वतः अद्यावधिक समर्थन बिना) मार्फत डोमेन प्यारामिटरहरू कन्फिगर गर्नका लागि "MDCertificateFile" र "MDCertificateKeyFile" निर्देशनहरू थपियो।
- 'नविकरण', 'म्याद समाप्त' वा 'त्रुटि भएको' घटनाहरू हुँदा बाह्य आदेशहरू कल गर्न "MDMessageCmd" निर्देशन थपियो।
- प्रमाणपत्रको म्याद सकिने बारे चेतावनी सन्देश कन्फिगर गर्न "MDWarnWindow" निर्देशन थपियो;

स्रोत: opennet.ru

Apache 2.4.41 HTTP सर्भर रिलिज कमजोरीहरू तय गरियो

एक टिप्पणी थप्न Отменить ответ