ProHoster > Блог > wararka internetka > Apache 2.4.41 http siideynta serverka oo leh baylahda go'an

Apache 2.4.41 http siideynta serverka oo leh baylahda go'an

la daabacay sii deynta Apache HTTP server 2.4.41 (sii daynta 2.4.40 waa la booday), kaas oo soo bandhigay 23 isbedel oo meesha laga saaray 6 baylahda:

  • CVE-2019-10081 waa arrin ku jirta mod_http2 taasoo u horseedi karta musuqmaasuqa xusuusta marka la dirayo codsiyada riixitaanka marxalad aad u horeeysa. Markaad isticmaalayso goobta "H2PushResource", waxaa suurtagal ah in lagu qoro xusuusta barkada socodsiinta codsiga, laakiin dhibaatadu waxay ku kooban tahay shil sababtoo ah xogta la qorayo kuma salaysna macluumaadka laga helo macmiilka;
  • CVE-2019-9517 - soo bandhigid dhawaan lagu dhawaaqay Nuglaanta DoS ee hirgelinta HTTP/2
    Weerarku wuxuu daali karaa xusuusta loo heli karo habka wuxuuna abuuri karaa culeys culus oo CPU ah isagoo furaya daaqad HTTP / 2 ah oo simbiriirixan u ah server-ka si uu u soo diro xogta iyada oo aan la xaddidin, laakiin ilaalinta daaqada TCP, ka ilaalinta xogta in dhab ahaantii lagu qoro godka;
  • CVE-2019-10098 - dhibaato ku jirta mod_rewrite, kaas oo kuu oggolaanaya inaad adeegsato server-ka si aad ugu gudbiso codsiyada kheyraadka kale (diritaan furan). Hababka mod_rewrite qaarkood waxay keeni karaan in isticmaalaha loo gudbiyo xiriiriye kale, lagu dhejiyay iyadoo la adeegsanayo xarfo khad cusub oo ku dhex jirta halbeeg loo isticmaalo dib u jiheynta jirta. Si aad u xannibto dhibaatada RegexDefaultOptions, waxaad isticmaali kartaa calanka PCRE_DOTALL, kaas oo hadda loo dejiyay default;
  • CVE-2019-10092 - Awoodda lagu sameeyo qoraal-goobeedka isku-tallaabta ee boggaga khaladka ah ee uu soo bandhigay mod_proxy. Bogaggaan, iskuxirku wuxuu ka kooban yahay URL-ka laga helay codsiga, kaas oo weeraryahanku uu geli karo koodka HTML ee gardarrada ah iyada oo loo marayo dabeecad ka baxsan;
  • CVE-2019-10097 - qulqulka xad-dhaafka ah iyo NULL tilmaamayaasha mod_remoteip, looga faa'iidaysto iyada oo la adeegsanayo maamulida madaxa borotokoolka PROXY. Weerarku waxa kaliya oo laga fulin karaa dhinaca server-ka wakiillada ee loo isticmaalo goobaha, ee maaha codsi macmiil;
  • CVE-2019-10082 nuglaansho ku jirta mod_http2 taas oo u oggolaanaysa, xilligan la joogo joojinta xiriirka, in la bilaabo akhrinta waxa ku jira aagga xusuusta ee hore loo xoreeyay (akhri-ka-dib-free).

Isbeddellada ugu caansan ee aan amniga ahayn:

  • mod_proxy_balancer waxa uu hagaajiyay ilaalinta ka dhanka ah weerarada XSS/XSRF ee asxaabta la aamini karo;
  • A SessionExpiryUpdateInterval Dejinta ayaa lagu daray mod_session si loo go'aamiyo inta u dhaxaysa cusboonaysiinta wakhtiga
  • Bogagga khaladaadka leh waa la nadiifiyey, looga dan lahaa in meesha laga saaro bandhigga macluumaadka codsiyada boggagan;
  • mod_http2 waxay ku xisaabtamaysaa qiimaha "LimitRequestFieldSize", kaas oo hore u shaqaynayay oo keliya hubinta goobaha madaxa HTTP/1.1;
  • Wuxuu xaqiijiyaa in qaabeynta mod_proxy_hcheck la sameeyay marka lagu isticmaalo BalancerMember;
  • Isticmaalka xusuusta oo yaraaday mod_dav marka la isticmaalayo amarka PROPFIND ee ururinta ballaaran;
  • Gudaha mod_proxy iyo mod_ssl, mashaakilaadka cadeynaya shahaado iyo dejinta SSL gudaha block Proxy waa la xaliyay;
  • mod_proxy wuxuu u ogolaanayaa SSLProxyCheckPeer* dejinta in lagu dabaqo dhammaan qaybaha wakiillada;
  • Awoodaha moduleka waa la ballaariyay mod_md, horumaray Aynu sirin mashruuca si otomaatig ah ugu samayno rasiidka iyo dayactirka shahaadooyinka anagoo adeegsanayna borotokoolka ACME (Automatic Management Environment):
    • Lagu daray nooca labaad ee borotokoolka ACMEv2, taas oo hadda ah default iyo adeegsadaa Codsiyada POST ee madhan halkii GET.
    • Taageerada lagu daray ee xaqiijinta ee ku salaysan kordhinta TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), kaas oo lagu isticmaalo HTTP/2.
    • Taageerada habka xaqiijinta 'tls-sni-01' waa la joojiyay (sabato ah baylahda).
    • Amarrada lagu daray dejinta iyo jebinta jeegga iyadoo la adeegsanayo habka 'dns-01'.
    • Taageero lagu daray maaskaro Shahaadooyinka marka xaqiijinta ku saleysan DNS la furo ('dns-01').
    • Hirgaliyay maamulaha 'md-status' iyo bogga heerka shahaadada 'https://domain/.httpd/certificate-status'.
    • Waxaa lagu daray "MDCertificateFile" iyo "MDCertificateKeyFile" dardaaranka loogu talagalay habaynta xuduudaha domain iyada oo loo marayo faylal aan caadi ahayn (iyada oo aan lahayn taageero toos ah).
    • Waxaa lagu daray dardaaranka "MDMessageCmd" si loogu waco amarrada dibadda marka 'la cusboonaysiiyo', ' dhacayo' ama 'qalad' dhacdooyinka dhacaan.
    • Lagu daray dardaaranka "MDWarnWindow" si loo habeeyo fariinta digniinta ah ee ku saabsan dhicista shahaadada;

Source: opennet.ru

Add a comment