ProHoster > Blog > lajme në internet > Lëshimi i serverit Apache 2.4.41 http me dobësi të rregulluara

Lëshimi i serverit Apache 2.4.41 http me dobësi të rregulluara

botuar lëshimi i serverit Apache HTTP 2.4.41 (lëshimi 2.4.40 u anashkalua), i cili prezantoi 23 ndryshime dhe eliminohen 6 dobësi:

  • CVE-2019-10081 është një problem në mod_http2 që mund të çojë në prishje të kujtesës kur dërgoni kërkesa shtytëse në një fazë shumë të hershme. Kur përdorni cilësimin "H2PushResource", është e mundur të mbishkruhet memoria në grupin e përpunimit të kërkesave, por problemi kufizohet në një përplasje sepse të dhënat që shkruhen nuk bazohen në informacionin e marrë nga klienti;
  • CVE-2019-9517 - ekspozimi i fundit i shpallur Dobësitë e DoS në implementimet HTTP/2.
    Një sulmues mund të shterojë memorien e disponueshme për një proces dhe të krijojë një ngarkesë të madhe CPU duke hapur një dritare rrëshqitëse HTTP/2 që serveri të dërgojë të dhëna pa kufizime, por duke e mbajtur dritaren TCP të mbyllur, duke parandaluar që të dhënat të shkruhen në të vërtetë në prizë;

  • CVE-2019-10098 - një problem në mod_rewrite, i cili ju lejon të përdorni serverin për të përcjellë kërkesat në burime të tjera (ridrejtim i hapur). Disa cilësime mod_rewrite mund të rezultojnë që përdoruesi të përcillet në një lidhje tjetër, të koduar duke përdorur një karakter të linjës së re brenda një parametri të përdorur në një ridrejtim ekzistues. Për të bllokuar problemin në RegexDefaultOptions, mund të përdorni flamurin PCRE_DOTALL, i cili tani është vendosur si parazgjedhje;
  • CVE-2019-10092 - aftësia për të kryer skriptimin ndër-site në faqet e gabimeve të shfaqura nga mod_proxy. Në këto faqe, lidhja përmban URL-në e marrë nga kërkesa, në të cilën një sulmues mund të fusë një kod arbitrar HTML përmes ikjes së karaktereve;
  • CVE-2019-10097 — tejmbushja e stivës dhe dereferencimi i treguesit NULL në mod_remoteip, i shfrytëzuar përmes manipulimit të kokës së protokollit PROXY. Sulmi mund të kryhet vetëm nga ana e serverit proxy të përdorur në cilësimet, dhe jo përmes një kërkese klienti;
  • CVE-2019-10082 - një dobësi në mod_http2 që lejon, në momentin e përfundimit të lidhjes, të fillojë leximin e përmbajtjes nga një zonë memorie tashmë e çliruar (lexo-pas-free).

Ndryshimet më të dukshme jo të sigurisë janë:

  • mod_proxy_balancer ka përmirësuar mbrojtjen kundër sulmeve XSS/XSRF nga kolegët e besuar;
  • Një cilësim SessionExpiryUpdateInterval është shtuar në mod_session për të përcaktuar intervalin për përditësimin e kohës së skadimit të sesionit/cookie;
  • Faqet me gabime u pastruan, me qëllim eliminimin e shfaqjes së informacionit nga kërkesat në këto faqe;
  • mod_http2 merr parasysh vlerën e parametrit "LimitRequestFieldSize", i cili më parë ishte i vlefshëm vetëm për kontrollin e fushave të kokës HTTP/1.1;
  • Siguron që konfigurimi mod_proxy_hcheck është krijuar kur përdoret në BalancerMember;
  • Reduktimi i konsumit të memories në mod_dav kur përdorni komandën PROPFIND në një koleksion të madh;
  • Në mod_proxy dhe mod_ssl, problemet me specifikimin e certifikatës dhe cilësimeve SSL brenda bllokut Proxy janë zgjidhur;
  • mod_proxy lejon që cilësimet SSLProxyCheckPeer* të aplikohen në të gjitha modulet proxy;
  • Aftësitë e modulit u zgjeruan mod_md, zhvilluar Le të kodojmë projektin për të automatizuar marrjen dhe mirëmbajtjen e certifikatave duke përdorur protokollin ACME (Automatic Certificate Management Environment):
    • U shtua versioni i dytë i protokollit ACMEv2, e cila tani është e paracaktuar dhe përdor bosh kërkesat POST në vend të GET.
    • Mbështetje e shtuar për verifikim bazuar në shtesën TLS-ALPN-01 (RFC 7301, Negocimi i Protokollit të Shtresës së Aplikimit), i cili përdoret në HTTP/2.
    • Mbështetja për metodën e verifikimit 'tls-sni-01' është ndërprerë (për shkak të dobësitë).
    • U shtuan komanda për konfigurimin dhe thyerjen e kontrollit duke përdorur metodën 'dns-01'.
    • Mbështetje e shtuar maska në certifikata kur verifikimi i bazuar në DNS është i aktivizuar ('dns-01').
    • U implementua trajtuesi i 'md-status' dhe faqja e statusit të certifikatës 'https://domain/.httpd/certificate-status'.
    • U shtuan direktivat "MDCertificateFile" dhe "MDCertificateKeyFile" për konfigurimin e parametrave të domenit përmes skedarëve statikë (pa mbështetje për përditësimin automatik).
    • U shtua direktiva "MDMessageCmd" për të thirrur komanda të jashtme kur ndodhin ngjarje 'të rinovuara', 'skadojnë' ose 'gabim'.
    • U shtua direktiva "MDWarnWindow" për të konfiguruar një mesazh paralajmërues për skadimin e certifikatës;

Burimi: opennet.ru

Shto një koment