Apache 2.4.46 http kumasulidwa kwa seva yokhala ndi zovuta zokhazikika
Lofalitsidwa kutulutsidwa kwa seva ya Apache HTTP 2.4.46 (yotulutsa 2.4.44 ndi 2.4.45 idalumphidwa), yomwe idayambitsa 17 kusintha ndi kuthetsedwa 3 zofooka:
CVE-2020-11984 - buffer kusefukira mu mod_proxy_uwsgi module, zomwe zingayambitse kutayikira kwa chidziwitso kapena kupha ma code pa seva potumiza pempho lopangidwa mwapadera. Kusatetezeka kumagwiritsidwa ntchito potumiza mutu wautali kwambiri wa HTTP. Kuti atetezedwe, kutsekereza kwa mitu yayitali kuposa 16K yawonjezedwa (malire omwe amafotokozedwa mu ndondomeko ya protocol).
CVE-2020-11993 - Chiwopsezo mu mod_http2 module yomwe imalola kuti njirayi iwonongeke potumiza pempho ndi mutu wopangidwa mwapadera wa HTTP/2. Vuto limadziwonetsera lokha pamene kuchotsa zolakwika kapena kufufuza kumayatsidwa mu mod_http2 module ndipo ikuwonetsedwa muzowonongeka zapamtima chifukwa cha mtundu wamtundu pamene mukusunga zambiri ku chipika. Vuto silikuwoneka LogLevel ikakhazikitsidwa ku "info".
CVE-2020-9490 - chiwopsezo mu mod_http2 module yomwe imalola kuti njira iwonongeke potumiza pempho kudzera pa HTTP/2 yokhala ndi mutu wamutu wa 'Cache-Digest' wopangidwa mwapadera (kuwonongeka kumachitika poyesa kuchita ntchito ya HTTP/2 PUSH pachinthu) . Kuti muletse kusatetezeka, mutha kugwiritsa ntchito "H2Push off".
CVE-2020-11985 - Kuwonongeka kwa mod_remoteip, komwe kumakupatsani mwayi wowononga ma adilesi a IP mukamagwiritsa ntchito mod_remoteip ndi mod_rewrite. Vuto limangowonekera pazotulutsa 2.4.1 mpaka 2.4.23.
Konzani mtundu wa mpikisano komanso kuwonongeka kwa mod_ssl mukamagwiritsa ntchito satifiketi ya kasitomala yotchulidwa kudzera pa SSLProxyMachineCertificateFile.
Kukhazikika kwa kukumbukira kutayikira mu mod_ssl.
mod_proxy_http2 imapereka kugwiritsa ntchito parameter ya proxy "ya pingΒ» mukamayang'ana momwe kulumikizana kwatsopano kapena kugwiritsidwiranso ntchito ku backend.
Kuyimitsa kumanga httpd ndi "-lsystemd" njira pamene mod_systemd yayatsidwa.
mod_proxy_http2 imatsimikizira kuti makonzedwe a ProxyTimeout akuganiziridwa podikirira deta yomwe ikubwera kudzera muzogwirizanitsa ndi backend.