ProHoster > Log > Internett-nyheter > Apache 2.4.46 http-serverutgivelse med sårbarheter fikset

Apache 2.4.46 http-serverutgivelse med sårbarheter fikset

publisert Utgivelse av Apache HTTP Server 2.4.46 (utgivelser 2.4.44 og 2.4.45 ble hoppet over), som ble introdusert 17 endringer og eliminert 3 sårbarheter:

  • CVE-2020-11984 - En bufferoverløp i mod_proxy_uwsgi -modulen, noe som kan føre til informasjonslekkasje eller kodeutførelse på serveren når du sender en spesialutformede forespørsel. Sårbarheten utnyttes ved å sende en veldig lang HTTP -overskrift. For beskyttelse er blokkering av overskrifter lenger enn 16K lagt til (en grense definert i protokollspesifikasjonen).
  • CVE-2020-11993 - En sårbarhet i MOD_HTTP2 -modulen som lar prosessen krasje når du sender en forespørsel med en spesialdesignet HTTP/2 -overskrift. Problemet manifesterer seg når feilsøking eller sporing er aktivert i MOD_HTTP2 -modulen og gjenspeiles i korrupsjon av minneinnholdet på grunn av en løpsbetingelse når du lagrer informasjon i loggen. Problemet vises ikke når LogLevel er satt til “Info”.
  • CVE-2020-9490 -En sårbarhet i MOD_HTTP2-modulen som lar en prosess krasje når du sender en forespørsel via HTTP/2 med en spesialdesignet 'cache-digest' overskriftsverdi (krasjet oppstår når du prøver å utføre en HTTP/2 push-operasjon på en ressurs) . For å blokkere sårbarheten, kan du bruke innstillingen "H2Push OFF".
  • CVE-2020-11985 - MOD_REMOTEIP -sårbarhet, som lar deg forfalske IP -adresser under proxying ved hjelp av mod_remoteip og mod_rewrite. Problemet vises bare for utgivelser 2.4.1 til 2.4.23.

De mest bemerkelsesverdige ikke-sikkerhetsendringene:

  • Støtte for utkast til spesifikasjon er fjernet fra mod_http2 Kazuho-H2-cache-digest, hvis promotering er stoppet.
  • Endret oppførselen til "LimitRequestfields" -direktivet i MOD_HTTP2; spesifisering av en verdi på 0 deaktiverer nå grensen.
  • mod_http2 gir prosessering av primære og sekundære (master/sekundære) tilkoblinger og merking av metoder avhengig av bruk.
  • Hvis feil siste modifisert overskriftsinnhold mottas fra et FCGI/CGI-skript, blir denne overskriften nå fjernet i stedet for erstattet i UNIX-epoke-tid.
  • AP_PARSE_STRICT_Length () -funksjonen er lagt til koden for å strengt analysere innholdsstørrelsen.
  • MOD_PROXY_FCGIs ProxyfcGisetenVif sikrer at miljøvariabler fjernes hvis det gitte uttrykket returnerer usant.
  • Rettet en løpsbetingelse og mulig MOD_SSL -krasj når du bruker et klientsertifikat spesifisert via SSLProxymachinecertificateFile -innstillingen.
  • Fast minnelekkasje i mod_ssl.
  • mod_proxy_http2 gir bruk av proxy -parameteren "ping»Når du sjekker funksjonaliteten til en ny eller gjenbrukt forbindelse til backend.
  • Stoppet å binde HTTPD med alternativet "-lsystemd" når MOD_SYSTEMD er aktivert.
  • mod_proxy_http2 sikrer at proxyTimeout -innstillingen tas i betraktning når du venter på innkommende data gjennom tilkoblinger til backend.

Kilde: opennet.ru

Legg til en kommentar