ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Apache 2.4.46 http සේවාදායක නිකුතුව දුර්වලතා නිරාකරණය කර ඇත

Apache 2.4.46 http සේවාදායක නිකුතුව දුර්වලතා නිරාකරණය කර ඇත

පළ කළා හඳුන්වා දුන් Apache HTTP සේවාදායකය 2.4.46 නිකුත් කිරීම (නිකුතු 2.4.44 සහ 2.4.45 මඟ හරින ලදී). 17 වෙනස්කම් සහ ඉවත් කරන ලදී අවදානම් 3 ක්:

  • CVE-2020-11984 — mod_proxy_uwsgi මොඩියුලය තුළ බෆරයක් පිටාර ගැලීම, විශේෂයෙන් සැකසූ ඉල්ලීමක් යැවීමේදී සේවාදායකයේ තොරතුරු කාන්දු වීමට හෝ කේත ක්‍රියාත්මක වීමට හේතු විය හැක. ඉතා දිගු HTTP ශීර්ෂයක් යැවීමෙන් අනාරක්ෂිත බව ප්‍රයෝජනයට ගනී. ආරක්ෂාව සඳහා, 16K ට වඩා දිගු ශීර්ෂ අවහිර කිරීම එකතු කර ඇත (ප්‍රොටෝකෝල පිරිවිතරයේ දක්වා ඇති සීමාවක්).
  • CVE-2020-11993 — mod_http2 මොඩියුලය තුළ ඇති අවදානමක් විශේෂයෙන් නිර්මාණය කරන ලද HTTP/2 ශීර්ෂයක් සමඟ ඉල්ලීමක් යැවීමේදී ක්‍රියාවලිය බිඳ වැටීමට ඉඩ සලසයි. mod_http2 මොඩියුලය තුළ නිදොස්කරණය හෝ ලුහුබැඳීම සක්‍රීය කර ඇති විට ගැටලුව ප්‍රකාශ වන අතර ලොගයට තොරතුරු සුරැකීමේදී ධාවන තත්ත්වය හේතුවෙන් මතක අන්තර්ගත දූෂණයෙන් පිළිබිඹු වේ. LogLevel "තොරතුරු" ලෙස සකසා ඇති විට ගැටළුව නොපෙනේ.
  • CVE-2020-9490 — mod_http2 මොඩියුලය තුළ ඇති අවදානමක්, විශේෂයෙන් නිර්මාණය කරන ලද 'Cache-Digest' ශීර්ෂ අගයක් සහිත HTTP/2 හරහා ඉල්ලීමක් යැවීමේදී ක්‍රියාවලියක් බිඳ වැටීමට ඉඩ සලසයි (සම්පතක් මත HTTP/2 PUSH මෙහෙයුමක් සිදු කිරීමට උත්සාහ කරන විට බිඳ වැටීම සිදුවේ) . අවදානම අවහිර කිරීමට, ඔබට "H2Push off" සැකසීම භාවිතා කළ හැක.
  • CVE-2020-11985 — mod_remoteip දුර්වලතාවය, mod_remoteip සහ mod_rewrite භාවිතයෙන් ප්‍රොක්සි කිරීමේදී IP ලිපින වංචා කිරීමට ඔබට ඉඩ සලසයි. ගැටළුව දිස්වන්නේ 2.4.1 සිට 2.4.23 දක්වා නිකුත් කිරීම් සඳහා පමණි.

වඩාත්ම කැපී පෙනෙන ආරක්ෂක නොවන වෙනස්කම් වන්නේ:

  • කෙටුම්පත් පිරිවිතර සඳහා සහය mod_http2 වෙතින් ඉවත් කර ඇත kazuho-h2-cache-digest, ප්‍රවර්ධනය නතර කර ඇත.
  • mod_http2 හි "LimitRequestFields" විධානයේ හැසිරීම වෙනස් කරන ලද අතර, දැන් 0 අගයක් නියම කිරීම සීමාව අක්‍රීය කරයි.
  • mod_http2 ප්‍රාථමික සහ ද්විතියික (ප්‍රධාන/ද්විතියික) සම්බන්ධතා සැකසීම සහ භාවිතය අනුව ක්‍රම සලකුණු කිරීම සපයයි.
  • FCGI/CGI ස්ක්‍රිප්ට් එකකින් වැරදි අවසන් වරට වෙනස් කරන ලද ශීර්ෂක අන්තර්ගතයක් ලැබුනේ නම්, මෙම ශීර්ෂකය Unix යුගයේදී ප්‍රතිස්ථාපනය කරනවා වෙනුවට දැන් ඉවත් කරනු ලැබේ.
  • අන්තර්ගත ප්‍රමාණය දැඩි ලෙස විග්‍රහ කිරීමට ap_parse_strict_length() ශ්‍රිතය කේතයට එක් කර ඇත.
  • Mod_proxy_fcgi's ProxyFCGISetEnvIf ලබා දී ඇති ප්‍රකාශනය වැරදි ලෙස ලබා දෙන්නේ නම් පරිසර විචල්‍යයන් ඉවත් කරන බව සහතික කරයි.
  • SSLProxyMachineCertificateFile සැකසුම හරහා නිශ්චිතව දක්වා ඇති සේවාදායක සහතිකයක් භාවිතා කරන විට ධාවන තත්ත්වය සහ mod_ssl බිඳවැටීම නිරාකරණය කර ඇත.
  • mod_ssl හි ස්ථාවර මතක කාන්දු වීම.
  • mod_proxy_http2 ප්‍රොක්සි පරාමිතිය භාවිතා කිරීම සපයයි "Ping»පසුපෙළ වෙත නව හෝ නැවත භාවිත කළ සම්බන්ධතාවයක ක්‍රියාකාරීත්වය පරීක්ෂා කිරීමේදී.
  • mod_systemd සබල කර ඇති විට "-lsystemd" විකල්පය සමඟ httpd බැඳීම නතර විය.
  • mod_proxy_http2 පසු අන්තයට සම්බන්ධතා හරහා ලැබෙන දත්ත බලා සිටින විට ProxyTimeout සැකසුම සැලකිල්ලට ගන්නා බව සහතික කරයි.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න