Izdaja http strežnika Apache 2.4.46 z odpravljenimi ranljivostmi
Objavljeno izdaja strežnika HTTP Apache 2.4.46 (izdaji 2.4.44 in 2.4.45 sta bili preskočeni), ki je predstavil 17 sprememb in odpravili 3 ranljivosti:
CVE-2020-11984 — prekoračitev medpomnilnika v modulu mod_proxy_uwsgi, ki lahko povzroči uhajanje informacij ali izvajanje kode na strežniku pri pošiljanju posebej oblikovane zahteve. Ranljivost se izkorišča s pošiljanjem zelo dolge glave HTTP. Za zaščito je dodano blokiranje glav, daljših od 16K (omejitev, določena v specifikaciji protokola).
CVE-2020-11993 — ranljivost v modulu mod_http2, ki omogoča, da se proces zruši pri pošiljanju zahteve s posebej oblikovano glavo HTTP/2. Težava se pokaže, ko je v modulu mod_http2 omogočeno odpravljanje napak ali sledenje in se odraža v poškodovanju vsebine pomnilnika zaradi stanja tekmovanja pri shranjevanju informacij v dnevnik. Težava se ne pojavi, ko je LogLevel nastavljen na »info«.
CVE-2020-9490 — ranljivost v modulu mod_http2, ki omogoča zrušitev procesa pri pošiljanju zahteve prek HTTP/2 s posebej zasnovano vrednostjo glave 'Cache-Digest' (zrušitev se pojavi, ko poskušate izvesti operacijo HTTP/2 PUSH na viru) . Če želite blokirati ranljivost, lahko uporabite nastavitev »H2Push off«.
CVE-2020-11985 — ranljivost mod_remoteip, ki omogoča ponarejanje naslovov IP med proxyjem z uporabo mod_remoteip in mod_rewrite. Težava se pojavi samo pri izdajah od 2.4.1 do 2.4.23.
Najbolj opazne spremembe, ki niso povezane z varnostjo:
Podpora za osnutek specifikacije je bila odstranjena iz mod_http2 kazuho-h2-cache-digest, katerega promocija je bila ustavljena.
Spremenjeno vedenje direktive "LimitRequestFields" v mod_http2; navedba vrednosti 0 zdaj onemogoči omejitev.
mod_http2 omogoča obdelavo primarnih in sekundarnih (master/secondary) povezav ter označevanje metod glede na uporabo.
Če je iz skripta FCGI/CGI prejeta nepravilna vsebina glave Last-Modified, je ta glava zdaj odstranjena in ne zamenjana v času epohe Unix.
Funkcija ap_parse_strict_length() je bila dodana kodi za strogo razčlenjevanje velikosti vsebine.
Mod_proxy_fcgi's ProxyFCGISetEnvIf zagotavlja, da so spremenljivke okolja odstranjene, če dani izraz vrne False.
Odpravljeno je stanje tekmovanja in možno zrušitev mod_ssl pri uporabi potrdila odjemalca, določenega prek nastavitve SSLProxyMachineCertificateFile.
Odpravljeno uhajanje pomnilnika v mod_ssl.
mod_proxy_http2 zagotavlja uporabo parametra proxy "ping» pri preverjanju funkcionalnosti nove ali ponovno uporabljene povezave z zaledjem.
Prekinjeno povezovanje httpd z možnostjo "-lsystemd", ko je mod_systemd omogočen.
mod_proxy_http2 zagotavlja, da se nastavitev ProxyTimeout upošteva pri čakanju na dohodne podatke prek povezav z zaledjem.