Izdaja http strežnika Apache 2.4.41 z odpravljenimi ranljivostmi
Objavljeno izdaja strežnika HTTP Apache 2.4.41 (izdaja 2.4.40 je bila preskočena), ki je predstavil 23 sprememb in odpravili 6 ranljivosti:
CVE-2019-10081 je težava v mod_http2, ki lahko privede do poškodb pomnilnika pri pošiljanju potisnih zahtev v zelo zgodnji fazi. Pri uporabi nastavitve »H2PushResource« je možno prepisati pomnilnik v področju obdelave zahtev, vendar je težava omejena na zrušitev, ker podatki, ki se zapisujejo, ne temeljijo na informacijah, prejetih od odjemalca;
CVE-2019-9517 - nedavna izpostavljenost napovedal DoS ranljivosti v implementacijah HTTP/2.
Napadalec lahko izčrpa pomnilnik, ki je na voljo procesu, in ustvari veliko obremenitev CPE-ja tako, da odpre drsno okno HTTP/2, da strežnik pošlje podatke brez omejitev, vendar pusti okno TCP zaprto, kar prepreči dejansko pisanje podatkov v vtičnico;
CVE-2019-10098 - težava v mod_rewrite, ki omogoča uporabo strežnika za posredovanje zahtev drugim virom (odprta preusmeritev). Nekatere nastavitve mod_rewrite lahko povzročijo, da je uporabnik preusmerjen na drugo povezavo, kodirano z uporabo znaka za novo vrstico znotraj parametra, uporabljenega v obstoječi preusmeritvi. Če želite blokirati težavo v RegexDefaultOptions, lahko uporabite zastavico PCRE_DOTALL, ki je zdaj privzeto nastavljena;
CVE-2019-10092 - zmožnost izvajanja skriptiranja med spletnimi mesti na straneh z napakami, ki jih prikaže mod_proxy. Na teh straneh povezava vsebuje URL, pridobljen iz zahteve, v katerega lahko napadalec vstavi poljubno kodo HTML z ubežnimi znaki;
CVE-2019-10097 — prelivanje sklada in dereferenca kazalca NULL v mod_remoteip, izkoriščena z manipulacijo glave protokola PROXY. Napad je mogoče izvesti samo s strani proxy strežnika, ki je uporabljen v nastavitvah, in ne prek zahteve odjemalca;
CVE-2019-10082 - ranljivost v mod_http2, ki omogoča v trenutku prekinitve povezave sprožiti branje vsebine iz že sproščenega pomnilniškega področja (read-after-free).
Najbolj opazne spremembe, ki niso povezane z varnostjo:
mod_proxy_balancer ima izboljšano zaščito pred napadi XSS/XSRF s strani zaupanja vrednih vrstnikov;
Nastavitev SessionExpiryUpdateInterval je bila dodana mod_session za določitev intervala za posodobitev časa poteka seje/piškotka;
Strani z napakami so bile očiščene, da bi odpravili prikaz informacij iz zahtev na teh straneh;
mod_http2 upošteva vrednost parametra “LimitRequestFieldSize”, ki je prej veljal le za preverjanje polj glave HTTP/1.1;
Zagotavlja, da je konfiguracija mod_proxy_hcheck ustvarjena pri uporabi v BalancerMember;
Zmanjšana poraba pomnilnika v mod_dav pri uporabi ukaza PROPFIND v veliki zbirki;
V mod_proxy in mod_ssl so bile odpravljene težave s podajanjem nastavitev potrdila in SSL znotraj bloka Proxy;
mod_proxy omogoča uporabo nastavitev SSLProxyCheckPeer* za vse proxy module;
Razširjene zmogljivosti modula mod_md, razviti Projekt Let's Encrypt za avtomatizacijo prejemanja in vzdrževanja potrdil z uporabo protokola ACME (Automatic Certificate Management Environment):
Dodana druga različica protokola ACMEv2, ki je zdaj privzeta in uporablja prazne zahteve POST namesto GET.
Dodana podpora za preverjanje na podlagi razširitve TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), ki se uporablja v HTTP/2.
Podpora za metodo preverjanja 'tl-sni-01' je bila ukinjena (zaradi ranljivosti).
Dodani ukazi za nastavitev in prekinitev preverjanja z metodo 'dns-01'.
Dodana podpora maske v potrdilih, ko je omogočeno preverjanje na podlagi DNS ('dns-01').
Implementiran 'md-status' handler in stran s statusom potrdila 'https://domain/.httpd/certificate-status'.
Dodani direktivi "MDCertificateFile" in "MDCertificateKeyFile" za konfiguracijo parametrov domene prek statičnih datotek (brez podpore za samodejno posodabljanje).
Dodana je direktiva »MDMessageCmd« za klic zunanjih ukazov, ko pride do dogodkov »obnovljeno«, »poteče« ali »z napako«.
Dodana direktiva "MDWarnWindow" za konfiguracijo opozorilnega sporočila o poteku potrdila;