د اپاچي 2.4.41 HTTP سرور خوشې کول د زیانونو سره ثابت شوي

خپور شوی د اپاچي HTTP سرور 2.4.41 خوشې کول (2.4.40 خوشې کول پریښودل شوي)، کوم چې معرفي شو 23 بدلونونه او له منځه وړل 6 زیانونه:

• CVE-2019-10081 په mod_http2 کې یوه مسله ده چې کولی شي د حافظې فساد لامل شي کله چې په خورا لومړني مرحله کې د فشار غوښتنې لیږل کیږي. کله چې د "H2PushResource" ترتیب وکاروئ، دا ممکنه ده چې د غوښتنې پروسس کولو حوض کې حافظه له سره لیکل شي، مګر ستونزه د حادثې پورې محدوده ده ځکه چې لیکل شوي ډاټا د پیرودونکي څخه ترلاسه شوي معلوماتو پراساس ندي؛
• CVE-2019-9517 - وروستي افشا کول اعلان وکړ د HTTP/2 پلي کولو کې د DoS زیانونه.
  یو برید کونکی کولی شي د پروسې لپاره موجود حافظه له مینځه یوسي او د سرور لپاره د سلایډ HTTP/2 کړکۍ په خلاصولو سره یو دروند CPU بار رامینځته کړي ترڅو ډیټا پرته له کوم محدودیت څخه واستوي ، مګر د TCP کړکۍ بند ساتل ، په حقیقت کې ساکټ ته د ډیټا لیکلو مخه نیسي؛

• CVE-2019-10098 - په mod_rewrite کې یوه ستونزه، کوم چې تاسو ته اجازه درکوي چې نورو سرچینو ته د غوښتنې لیږلو لپاره سرور وکاروئ (د خلاصې لارښوونې). د mod_rewrite ځینې ترتیبات ممکن د دې لامل شي چې کاروونکي بل لینک ته لیږل کیږي، د نوي کریکټ کریکټ په کارولو سره کوډ شوی پیرامیټر کې چې په موجوده لارښود کې کارول کیږي. په RegexDefaultOptions کې د ستونزې د بندولو لپاره، تاسو کولی شئ د PCRE_DOTALL بیرغ وکاروئ، کوم چې اوس د ډیفالټ لخوا ټاکل شوی؛
• CVE-2019-10092 - د mod_proxy لخوا ښودل شوي خطا پا pagesو کې د کراس سایټ سکریپټینګ ترسره کولو وړتیا. په دې پاڼو کې، لینک د غوښتنې څخه ترلاسه شوی URL لري، په کوم کې چې برید کوونکی کولی شي د کرکټر څخه د تیښتې له لارې خپل سري HTML کوډ داخل کړي؛
• CVE-2019-10097 - په mod_remoteip کې د سټیک اوور فلو او NULL پوائنټر ډیریفرنس ، د پراکسي پروتوکول سرلیک د لاسوهنې له لارې ګټه پورته شوې. برید یوازې د پراکسي سرور له اړخ څخه ترسره کیدی شي چې په ترتیباتو کې کارول کیږي ، نه د پیرودونکي غوښتنې له لارې؛
• CVE-2019-10082 - په mod_http2 کې یو زیانمننه چې د پیوستون پای ته رسیدو په وخت کې اجازه ورکوي چې د پخوانۍ وړیا حافظې ساحې څخه د مینځپانګو لوستل پیل کړي (له لوستلو وروسته وړیا).

ترټولو د پام وړ غیر امنیتي بدلونونه:

• mod_proxy_balancer د باور وړ ملګرو څخه د XSS/XSRF بریدونو پروړاندې محافظت ښه کړی؛
• د SessionExpiryUpdateInterval ترتیب په mod_session کې اضافه شوی ترڅو د سیشن / کوکي ختمیدو وخت تازه کولو لپاره وقفه وټاکي؛
• د تېروتنې پاڼې پاکې شوې، چې موخه یې په دې پاڼو کې د غوښتنو څخه د معلوماتو ښودلو له منځه وړل دي؛
• mod_http2 د "LimitRequestFieldSize" پیرامیټر ارزښت په پام کې نیسي، کوم چې مخکې یوازې د HTTP/1.1 سرلیک ساحو چک کولو لپاره اعتبار درلود؛
• ډاډ ترلاسه کوي چې د mod_proxy_hcheck ترتیب رامینځته کیږي کله چې په BalancerMember کې کارول کیږي؛
• په mod_dav کې د حافظې مصرف کم شوی کله چې په لوی ټولګه کې د PROPFIND کمانډ کاروئ؛
• په mod_proxy او mod_ssl کې، د پراکسي بلاک دننه د سند او SSL ترتیباتو مشخص کولو ستونزې حل شوي؛
• mod_proxy اجازه ورکوي SSLProxyCheckPeer* ترتیبات په ټولو پراکسي ماډلونو کې پلي شي؛
• د ماډل وړتیاوې پراخې شوې mod_md, پرمختللی راځئ چې د ACME (د اتوماتیک سند مدیریت چاپیریال) پروتوکول په کارولو سره د سندونو رسید او ساتنې اتومات کولو لپاره پروژه کوډ کړو:
  • د پروتوکول دوهم نسخه اضافه کړه ACMEv2، کوم چې اوس ډیفالټ دی او کاروي د GET پرځای د POST خالي غوښتنې.
  • د TLS-ALPN-01 تمدید (RFC 7301، د غوښتنلیک پرت پروتوکول خبرو اترو) پراساس د تایید لپاره ملاتړ اضافه شوی، کوم چې په HTTP/2 کې کارول کیږي.
  • د 'tls-sni-01' تایید میتود لپاره ملاتړ بند شوی دی (له امله زیانمنتیاوې).
  • د 'dns-01' میتود په کارولو سره د چیک تنظیم کولو او ماتولو لپاره کمانډونه اضافه شوي.
  • ملاتړ اضافه کړ ماسکونه په سندونو کې کله چې د DNS پر بنسټ تایید فعال شوی وي ('dns-01').
  • د 'md-status' سمبالونکی او د سند حالت پاڼه 'https://domain/.httpd/certificate-status' پلي شوی.
  • د جامد فایلونو له لارې د ډومین پیرامیټونو تنظیم کولو لپاره "MDCertificateFile" او "MDCertificateKeyFile" لارښوونې اضافه شوي (پرته د اتوماتیک تازه کولو ملاتړ).
  • د "MDMessageCmd" لارښود اضافه شوی ترڅو بهرني کمانډونو ته زنګ ووهي کله چې 'نوي'، 'تیریدل' یا 'غلطي' پیښې پیښیږي.
  • د سند ختمیدو په اړه د خبرتیا پیغام تنظیم کولو لپاره د "MDWarnWindow" لارښود اضافه شوی؛

سرچینه: opennet.ru