ProHoster > blog > internetnieuws > Apache 2.4.41 http-serveruitgave met opgeloste kwetsbaarheden

Apache 2.4.41 http-serveruitgave met opgeloste kwetsbaarheden

gepubliceerd release van de Apache HTTP-server 2.4.41 (release 2.4.40 werd overgeslagen), die introduceerde 23 wijzigingen en geëlimineerd 6 kwetsbaarheden:

  • CVE-2019-10081 is een probleem in mod_http2 dat kan leiden tot geheugenbeschadiging bij het verzenden van pushverzoeken in een zeer vroeg stadium. Wanneer u de instelling "H2PushResource" gebruikt, is het mogelijk om het geheugen in de aanvraagverwerkingspool te overschrijven, maar het probleem blijft beperkt tot een crash omdat de gegevens die worden geschreven niet gebaseerd zijn op informatie ontvangen van de client;
  • CVE-2019-9517 - recente blootstelling aangekondigd DoS-kwetsbaarheden in HTTP/2-implementaties.
    Een aanvaller kan het beschikbare geheugen voor een proces uitputten en een zware CPU-belasting veroorzaken door een verschuivend HTTP/2-venster te openen zodat de server gegevens zonder beperkingen kan verzenden, maar het TCP-venster gesloten houdt, waardoor wordt voorkomen dat gegevens daadwerkelijk naar de socket worden geschreven;
  • CVE-2019-10098 - een probleem in mod_rewrite, waardoor u de server kunt gebruiken om verzoeken door te sturen naar andere bronnen (open redirect). Sommige mod_rewrite-instellingen kunnen ertoe leiden dat de gebruiker wordt doorgestuurd naar een andere link, gecodeerd met een newline-teken binnen een parameter die in een bestaande omleiding wordt gebruikt. Om het probleem in RegexDefaultOptions te blokkeren, kunt u de vlag PCRE_DOTALL gebruiken, die nu standaard is ingesteld;
  • CVE-2019-10092 - de mogelijkheid om cross-site scripting uit te voeren op foutpagina's weergegeven door mod_proxy. Op deze pagina's bevat de link de URL die is verkregen uit het verzoek, waarin een aanvaller willekeurige HTML-code kan invoegen door middel van karakter-escaping;
  • CVE-2019-10097 — stack overflow en NULL pointer-dereferentie in mod_remoteip, uitgebuit door manipulatie van de PROXY-protocolheader. De aanval kan alleen worden uitgevoerd vanaf de kant van de proxyserver die in de instellingen wordt gebruikt, en niet via een clientverzoek;
  • CVE-2019-10082 - een kwetsbaarheid in mod_http2 die het mogelijk maakt, op het moment dat de verbinding wordt beëindigd, het lezen van inhoud uit een reeds vrijgemaakt geheugengebied te starten (read-after-free).

De meest opvallende niet-beveiligingswijzigingen zijn:

  • mod_proxy_balancer heeft verbeterde bescherming tegen XSS/XSRF-aanvallen van vertrouwde peers;
  • Er is een SessionExpiryUpdateInterval-instelling toegevoegd aan mod_session om het interval te bepalen voor het bijwerken van de vervaltijd van de sessie/cookie;
  • Pagina's met fouten zijn opgeschoond, met als doel de weergave van informatie uit verzoeken op deze pagina's te elimineren;
  • mod_http2 houdt rekening met de waarde van de parameter “LimitRequestFieldSize”, die voorheen alleen geldig was voor het controleren van HTTP/1.1-headervelden;
  • Zorgt ervoor dat de mod_proxy_hcheck-configuratie wordt aangemaakt bij gebruik in BalancerMember;
  • Verminderd geheugengebruik in mod_dav bij gebruik van de opdracht PROPFIND voor een grote verzameling;
  • In mod_proxy en mod_ssl zijn problemen met het opgeven van certificaat- en SSL-instellingen binnen het proxyblok opgelost;
  • mod_proxy zorgt ervoor dat SSLProxyCheckPeer*-instellingen kunnen worden toegepast op alle proxymodules;
  • Modulemogelijkheden uitgebreid mod_md, ontwikkeld Let's Encrypt-project om de ontvangst en het onderhoud van certificaten te automatiseren met behulp van het ACME-protocol (Automatic Certificate Management Environment):
    • Tweede versie van het protocol toegevoegd ACMEv2, wat nu de standaard is en toepassingen lege POST-verzoeken in plaats van GET.
    • Ondersteuning toegevoegd voor verificatie op basis van de TLS-ALPN-01-extensie (RFC 7301, Application-Layer Protocol Negotiation), die wordt gebruikt in HTTP/2.
    • Ondersteuning voor de verificatiemethode 'tls-sni-01' is stopgezet (vanwege kwetsbaarheden).
    • Commando's toegevoegd voor het instellen en verbreken van de controle met behulp van de 'dns-01'-methode.
    • Ondersteuning toegevoegd maskers in certificaten wanneer DNS-gebaseerde verificatie is ingeschakeld ('dns-01').
    • Implementatie van 'md-status' handler en certificaatstatuspagina 'https://domain/.httpd/certificate-status'.
    • "MDCertificateFile" en "MDCertificateKeyFile" richtlijnen toegevoegd voor het configureren van domeinparameters via statische bestanden (zonder ondersteuning voor automatische updates).
    • "MDMessageCmd"-richtlijn toegevoegd om externe opdrachten aan te roepen wanneer 'vernieuwde', 'verlopen' of 'foutieve' gebeurtenissen plaatsvinden.
    • "MDWarnWindow"-richtlijn toegevoegd om een ​​waarschuwingsbericht over het verlopen van het certificaat te configureren;

Bron: opennet.ru

Voeg een reactie