Apache 2.4.41 http සේවාදායක නිකුතුව දුර්වලතා නිරාකරණය කර ඇත

පළ කළා හඳුන්වා දුන් Apache HTTP සේවාදායකය 2.4.41 (නිකුතුව 2.4.40 මඟ හරින ලදී) නිකුත් කිරීම 23 වෙනස්කම් සහ ඉවත් කරන ලදී අවදානම් 6 ක්:

• CVE-2019-10081 mod_http2 හි ගැටලුවක් වන අතර එය ඉතා මුල් අවධියේදී තල්ලු ඉල්ලීම් යැවීමේදී මතකය දූෂණය විය හැක. "H2PushResource" සැකසුම භාවිතා කරන විට, ඉල්ලීම් සැකසුම් සංචිතයේ මතකය උඩින් ලිවීමට හැකියාව ඇත, නමුත් ලියා ඇති දත්ත සේවාදායකයාගෙන් ලැබුණු තොරතුරු මත පදනම් නොවන නිසා ගැටළුව බිඳ වැටීමකට සීමා වේ;
• CVE-2019-9517 - මෑත නිරාවරණය නිවේදනය කළේය HTTP/2 ක්‍රියාත්මක කිරීමේදී DoS දුර්වලතා.
  ප්‍රහාරකයෙකුට ක්‍රියාවලියකට ඇති මතකය අවසන් කර, සීමාවකින් තොරව දත්ත යැවීමට සේවාදායකයට ස්ලයිඩින් HTTP/2 කවුළුවක් විවෘත කිරීමෙන් අධික CPU භාරයක් නිර්මාණය කළ හැකිය, නමුත් TCP කවුළුව වසා තබා, දත්ත ඇත්ත වශයෙන්ම සොකට් වෙත ලිවීම වළක්වයි;

• CVE-2019-10098 - mod_rewrite හි ගැටළුවක්, වෙනත් සම්පත් වෙත ඉල්ලීම් යැවීමට සේවාදායකය භාවිතා කිරීමට ඔබට ඉඩ සලසයි (විවෘත යළි-යොමුවීම්). සමහර mod_rewrite සිටුවම් මඟින් පරිශීලකයා වෙනත් සබැඳියකට යොමු කිරීමට හේතු විය හැක, පවතින යළි-යොමුවීම්වල භාවිතා වන පරාමිතියක් තුළ නව රේඛා අක්ෂරයක් භාවිතයෙන් කේතනය කර ඇත. RegexDefaultOptions හි ගැටලුව අවහිර කිරීමට, ඔබට දැන් පෙරනිමියෙන් සකසා ඇති PCRE_DOTALL ධජය භාවිතා කළ හැක;
• CVE-2019-10092 - mod_proxy මගින් සංදර්ශණය වන දෝෂ පිටු මත හරස්-අඩවි විධානාවලි සිදු කිරීමේ හැකියාව. මෙම පිටුවල, ප්‍රහාරකයෙකුට අක්ෂර ගැලවීම හරහා අත්තනෝමතික HTML කේතය ඇතුළත් කළ හැකි ඉල්ලීමෙන් ලබාගත් URL එක සබැඳියේ අඩංගු වේ;
• CVE-2019-10097 — mod_remoteip හි පිටාර ගැලීම සහ NULL පොයින්ටර් dereference, PROXY ප්‍රොටෝකෝල ශීර්ෂය හැසිරවීම හරහා භාවිතා කරයි. ප්‍රහාරය සිදු කළ හැක්කේ සැකසුම් තුළ භාවිතා කරන ප්‍රොක්සි සේවාදායකයේ පැත්තෙන් මිස සේවාදායක ඉල්ලීමක් හරහා නොවේ;
• CVE-2019-10082 - mod_http2 හි ඇති අනාරක්‍ෂිතතාවයක්, සම්බන්ධතාවය අවසන් වන මොහොතේ, දැනටමත් නිදහස් කර ඇති මතක ප්‍රදේශයකින් (කියවීමෙන් පසු-නිදහස්) අන්තර්ගතය කියවීම ආරම්භ කිරීමට ඉඩ සලසයි.

වඩාත්ම කැපී පෙනෙන ආරක්ෂක නොවන වෙනස්කම් වන්නේ:

• mod_proxy_balancer විශ්වාසවන්ත මිතුරන්ගෙන් XSS/XSRF ප්‍රහාරවලට එරෙහිව ආරක්ෂාව වැඩි දියුණු කර ඇත;
• සැසිය/කුකී කල් ඉකුත් වීමේ කාලය යාවත්කාලීන කිරීම සඳහා කාල පරතරය තීරණය කිරීම සඳහා mod_session වෙත SessionExpiryUpdateInterval සැකසුම එක් කර ඇත;
• මෙම පිටු වල ඉල්ලීම් වලින් තොරතුරු ප්‍රදර්ශනය කිරීම ඉවත් කිරීම අරමුණු කරගත් දෝෂ සහිත පිටු පිරිසිදු කරන ලදී;
• mod_http2 "LimitRequestFieldSize" පරාමිතියෙහි අගය සැලකිල්ලට ගනී, එය කලින් වලංගු වූයේ HTTP/1.1 ශීර්ෂ ක්ෂේත්‍ර පරීක්ෂා කිරීම සඳහා පමණි;
• BalancerMember හි භාවිතා කරන විට mod_proxy_hcheck වින්‍යාසය නිර්මාණය වී ඇති බව සහතික කරයි;
• විශාල එකතුවක් මත PROPFIND විධානය භාවිතා කරන විට mod_dav හි මතක පරිභෝජනය අඩු වීම;
• mod_proxy සහ mod_ssl හි, ප්‍රොක්සි බ්ලොක් එක තුළ සහතිකය සහ SSL සිටුවම් නියම කිරීමේ ගැටළු නිරාකරණය කර ඇත;
• mod_proxy මඟින් SSLProxyCheckPeer* සිටුවම් සියලු ප්‍රොක්සි මොඩියුලවලට යෙදීමට ඉඩ දෙයි;
• මොඩියුලයේ හැකියාවන් පුළුල් විය mod_md, සංවර්ධිත ACME (ස්වයංක්‍රීය සහතික කළමනාකරණ පරිසරය) ප්‍රොටෝකෝලය භාවිතයෙන් සහතික ලැබීම සහ නඩත්තුව ස්වයංක්‍රීය කිරීමට ව්‍යාපෘතිය සංකේතනය කරමු:
  • ප්රොටෝකෝලයේ දෙවන අනුවාදය එකතු කරන ලදී ACMEv2, දැන් පෙරනිමිය වන සහ භාවිතා කරයි GET වෙනුවට හිස් POST ඉල්ලීම්.
  • HTTP/01 හි භාවිතා වන TLS-ALPN-7301 දිගුව (RFC 2, යෙදුම්-ස්ථර ප්‍රොටෝකෝල සාකච්ඡා) මත පදනම්ව සත්‍යාපනය සඳහා සහය එක් කරන ලදී.
  • 'tls-sni-01' සත්‍යාපන ක්‍රමය සඳහා වන සහාය අත්හිටුවා ඇත (නිසා දුර්වලතා).
  • 'dns-01' ක්‍රමය භාවිතයෙන් චෙක්පත සැකසීමට සහ කැඩීමට විධාන එක් කරන ලදී.
  • සහාය එකතු කරන ලදී වෙස් මුහුණු DNS මත පදනම් වූ සත්‍යාපනය සක්‍රීය කර ඇති විට සහතික වල ('dns-01').
  • 'md-status' හසුරුවන්න සහ සහතික තත්ව පිටුව 'https://domain/.httpd/certificate-status' ක්‍රියාත්මක කරන ලදී.
  • ස්ථිතික ගොනු හරහා වසම් පරාමිතීන් වින්‍යාස කිරීම සඳහා "MDCertificateFile" සහ "MDCertificateKeyFile" විධාන එකතු කරන ලදී (ස්වයංක්‍රීය යාවත්කාලීන සහාය නොමැතිව).
  • 'අලුත් කළ', 'කල් ඉකුත්වන' හෝ 'දෝෂ' සිදුවීම් සිදු වූ විට බාහිර විධාන ඇමතීමට "MDMessageCmd" විධානය එක් කරන ලදී.
  • සහතිකය කල් ඉකුත්වීම පිළිබඳ අනතුරු ඇඟවීමේ පණිවිඩයක් වින්‍යාස කිරීමට "MDWarnWindow" විධානය එක් කරන ලදී;

මූලාශ්රය: opennet.ru