ProHoster > بلاګ > انټرنیټ خبرونه > د اپاچي 2.4.46 HTTP سرور خوشې کول د زیانونو سره ثابت شوي

د اپاچي 2.4.46 HTTP سرور خوشې کول د زیانونو سره ثابت شوي

خپور شوی د اپاچي HTTP سرور 2.4.46 خوشې کول (ریلیز 2.4.44 او 2.4.45 پریښودل شوي)، کوم چې معرفي شو 17 بدلونونه او له منځه وړل 3 زیان منونکي:

  • CVE-2020-11984 - په mod_proxy_uwsgi موډل کې د بفر اوور فلو، کوم چې کولی شي په سرور کې د معلوماتو لیک یا کوډ اجرا کولو المل شي کله چې په ځانګړي ډول جوړ شوي غوښتنه لیږل کیږي. زیانمنتیا د خورا اوږد HTTP سرلیک په لیږلو سره کارول کیږي. د محافظت لپاره، د 16K څخه ډیر اوږد سرلیکونه بندول اضافه شوي (یو حد چې د پروتوکول مشخصاتو کې تعریف شوی).
  • CVE-2020-11993 - په mod_http2 ماډل کې یو زیانمننه چې پروسې ته اجازه ورکوي کله چې د ځانګړي ډیزاین شوي HTTP/2 سرلیک سره غوښتنه لیږل کیږي. ستونزه هغه وخت څرګندیږي کله چې په mod_http2 ماډل کې ډیبګ کول یا تعقیب کول فعال شوي او د ریس حالت له امله د حافظې مینځپانګې فساد کې منعکس کیږي کله چې لاګ ته معلومات خوندي کوي. ستونزه هغه وخت نه څرګندیږي کله چې LogLevel "معلومات" ته ټاکل شوی وي.
  • CVE-2020-9490 - په mod_http2 ماډل کې یو زیانمننه چې د HTTP/2 له لارې د ځانګړي ډیزاین شوي 'کیچ-ډائجسټ' سرلیک ارزښت سره د غوښتنې لیږلو پرمهال پروسې ته د خرابیدو اجازه ورکوي (حادثه هغه وخت رامینځته کیږي کله چې په سرچینې کې د HTTP/2 PUSH عملیاتو ترسره کولو هڅه وکړئ) . د زیان مننې مخنیوي لپاره ، تاسو کولی شئ د "H2Push off" ترتیب وکاروئ.
  • CVE-2020-11985 - د mod_remoteip زیانمنتیا، کوم چې تاسو ته اجازه درکوي د mod_remoteip او mod_rewrite په کارولو سره د پراکسي کولو پرمهال IP پتې سپک کړئ. ستونزه یوازې د 2.4.1 څخه تر 2.4.23 پورې د ریلیزونو لپاره ښکاري.

ترټولو د پام وړ غیر امنیتي بدلونونه:

  • د مسودې توضیحاتو ملاتړ د mod_http2 څخه لرې شوی kazuho-h2-cache-digest، چې ترویج یې ودرول شو.
  • په mod_http2 کې د "LimitRequestFields" لارښود چلند بدل کړ؛ د 0 ارزښت مشخص کول اوس حد غیر فعالوي.
  • mod_http2 د لومړني او ثانوي (ماسټر / ثانوي) اتصالونو پروسس کول او د کارولو پورې اړه لري د میتودونو نښه کول چمتو کوي.
  • که د FCGI/CGI سکریپټ څخه غلط وروستی بدلون شوی سرلیک منځپانګه ترلاسه شي، نو دا سرلیک اوس د یونکس دورې په وخت کې د ځای په ځای کولو پرځای لرې شوی.
  • د ap_parse_strict_length() فنکشن په کوډ کې اضافه شوی ترڅو د مینځپانګې اندازه په کلکه تجزیه کړي.
  • د Mod_proxy_fcgi's ProxyFCGISetEnvIf ډاډ ترلاسه کوي چې د چاپیریال متغیرونه لرې شوي که چیرې ورکړل شوی بیان غلط راستون شي.
  • د ریس حالت او ممکنه mod_ssl حادثه حل کړئ کله چې د SSLProxyMachineCertificateFile ترتیب له لارې مشخص شوي پیرودونکي سند وکاروئ.
  • په mod_ssl کې ثابت حافظه لیک.
  • mod_proxy_http2 د پراکسي پیرامیټر کارول چمتو کوي "پنگ»کله چې د شالید سره د نوي یا بیا کارول شوي پیوستون فعالیت چیک کړئ.
  • کله چې mod_systemd فعال شوی وي د "-lsystemd" اختیار سره د httpd پابند کول ودرول.
  • mod_proxy_http2 ډاډ ترلاسه کوي چې د پراکسي ټایم آوټ ترتیب په پام کې نیول کیږي کله چې د شالید سره د اړیکو له لارې د راتلونکو معلوماتو انتظار کول.

سرچینه: opennet.ru

Add a comment