پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > Apache 2.4.46 http سرور رليز ڪيو ويو نقصانڪارن سان

Apache 2.4.46 http سرور رليز ڪيو ويو نقصانڪارن سان

شايع ٿيل Apache HTTP سرور 2.4.46 جي ڇڏڻ (رليز 2.4.44 ۽ 2.4.45 ڇڏيا ويا)، جيڪو متعارف ڪرايو ويو 17 تبديليون ۽ ختم ڪيو 3 ڪمزوريون:

  • CVE-2020-11984 - mod_proxy_uwsgi ماڊل ۾ هڪ بفر اوور فلو، جيڪو خاص طور تي تيار ڪيل درخواست موڪلڻ وقت سرور تي معلومات جي رسي يا ڪوڊ جي عمل جي ڪري سگھي ٿو. هڪ تمام ڊگهو HTTP هيڊر موڪلڻ سان ڪمزوري جو استحصال ڪيو ويندو آهي. تحفظ لاءِ، 16K کان وڌيڪ ڊگھي ھيڊرز کي بلاڪ ڪيو ويو آھي (پروٽوڪول جي وضاحت ۾ بيان ڪيل حد).
  • CVE-2020-11993 - mod_http2 ماڊل ۾ هڪ ڪمزوري جيڪا خاص طور تي ٺهيل HTTP/2 هيڊر سان درخواست موڪلڻ دوران عمل کي تباهه ڪرڻ جي اجازت ڏئي ٿي. مسئلو پاڻ کي ظاهر ڪري ٿو جڏهن ڊيبگنگ يا ٽريڪنگ کي mod_http2 ماڊل ۾ فعال ڪيو ويو آهي ۽ ميموري مواد جي ڪرپشن ۾ ظاهر ٿئي ٿو ريس جي حالت جي ڪري جڏهن لاگ ۾ معلومات محفوظ ڪري ٿي. مسئلو ظاهر نٿو ٿئي جڏهن LogLevel کي "معلومات" تي سيٽ ڪيو ويو آهي.
  • CVE-2020-9490 - mod_http2 ماڊل ۾ هڪ ڪمزوري جيڪا خاص طور تي ٺهيل 'ڪيش-ڊائجسٽ' هيڊر ويل سان HTTP/2 ذريعي درخواست موڪلڻ وقت حادثي جي عمل جي اجازت ڏئي ٿي (حادثو تڏهن ٿئي ٿو جڏهن ڪنهن وسيلن تي HTTP/2 PUSH آپريشن ڪرڻ جي ڪوشش ڪئي وڃي) . خطري کي روڪڻ لاءِ، توهان استعمال ڪري سگهو ٿا ”H2Push off“ سيٽنگ.
  • CVE-2020-11985 - mod_remoteip vulnerability، جيڪا توهان کي اجازت ڏئي ٿي IP پتي کي اسپف ڪرڻ دوران پراکسينگ دوران mod_remoteip ۽ mod_rewrite استعمال ڪندي. مسئلو صرف رليز 2.4.1 کان 2.4.23 تائين ظاهر ٿئي ٿو.

سڀ کان وڌيڪ قابل ذڪر غير سيڪيورٽي تبديليون:

  • مسودي جي وضاحت لاءِ سپورٽ mod_http2 تان هٽايو ويو آهي kazuho-h2-cache-digestجنهن جي پروموشن کي روڪيو ويو آهي.
  • mod_http2 ۾ "LimitRequestFields" جي هدايت جي رويي کي تبديل ڪيو؛ 0 جي قيمت بيان ڪرڻ هاڻي حد کي غير فعال ڪري ٿو.
  • mod_http2 بنيادي ۽ ثانوي (ماسٽر / ثانوي) ڪنيڪشن جي پروسيسنگ ۽ استعمال جي لحاظ کان طريقن جي نشانن کي مهيا ڪري ٿي.
  • جيڪڏهن غلط آخري-تبديل ٿيل هيڊر مواد FCGI/CGI اسڪرپٽ مان حاصل ڪيو ويو آهي، هي هيڊر هاڻي يونڪس جي دور ۾ تبديل ڪرڻ بدران هٽايو ويو آهي.
  • ap_parse_strict_length() فنڪشن کي ڪوڊ ۾ شامل ڪيو ويو آھي سختي سان مواد جي سائيز کي پارس ڪرڻ لاءِ.
  • Mod_proxy_fcgi جي ProxyFCGISetEnvIf انهي ڳالهه کي يقيني بڻائي ٿو ته ماحول جي متغير کي هٽايو ويو آهي جيڪڏهن ڏنل اظهار غلط موٽائي ٿو.
  • مقرر ٿيل نسل جي حالت ۽ ممڪن mod_ssl حادثي جڏهن ڪلائنٽ سرٽيفڪيٽ استعمال ڪندي SSLProxyMachineCertificateFile سيٽنگ ذريعي بيان ڪيل.
  • mod_ssl ۾ مقرر ٿيل ميموري ليک.
  • mod_proxy_http2 پراکسي پيٽرولر جو استعمال مهيا ڪري ٿو "اوباما»جڏهن پس منظر ڏانهن نئين يا ٻيهر استعمال ٿيل ڪنيڪشن جي ڪارڪردگي جي جانچ ڪندي.
  • بند ٿيل بائنڊنگ httpd کي "-lsystemd" اختيار سان جڏهن mod_systemd فعال ڪيو ويو آهي.
  • mod_proxy_http2 انهي ڳالهه کي يقيني بڻائي ٿو ته ProxyTimeout سيٽنگ کي حساب ۾ رکيو وڃي ٿو جڏهن ايندڙ ڊيٽا جي پس منظر ۾ ڪنيڪشن ذريعي انتظار ڪيو وڃي.

جو ذريعو: opennet.ru

تبصرو شامل ڪريو