ProHoster > Blog > warta internét > Apache 2.4.46 http server release kalawan vulnerabilities dibereskeun

Apache 2.4.46 http server release kalawan vulnerabilities dibereskeun

diterbitkeun sékrési server Apache HTTP 2.4.46 (kaluaran 2.4.44 sareng 2.4.45 dilewatan), anu diwanohkeun 17 parobahan sarta ngaleungitkeun 3 karentanan:

  • CVE-2020-11984 - a mudal panyangga dina modul mod_proxy_uwsgi, nu bisa ngakibatkeun leakage informasi atawa palaksanaan kode dina server nalika ngirim hiji pamundut crafted husus. Kerentanan dieksploitasi ku ngirim lulugu HTTP anu panjang pisan. Pikeun panangtayungan, blocking headers leuwih panjang batan 16K geus ditambahkeun (wates ditetepkeun dina spésifikasi protokol).
  • CVE-2020-11993 - kerentanan dina modul mod_http2 anu ngamungkinkeun prosés ngadat nalika ngirim pamundut sareng lulugu HTTP / 2 anu dirancang khusus. Masalahna manifests sorangan nalika debugging atanapi tracing diaktipkeun dina modul mod_http2 sarta reflected dina korupsi eusi memori alatan kaayaan lomba nalika nyimpen informasi ka log. Masalahna henteu muncul nalika LogLevel disetel ka "info".
  • CVE-2020-9490 - kerentanan dina modul mod_http2 anu ngamungkinkeun prosés ngadat nalika ngirim pamundut via HTTP / 2 kalayan nilai header 'Cache-Digest' anu dirarancang khusus (kacilakaan lumangsung nalika nyobian ngalakukeun operasi HTTP / 2 PUSH dina sumber daya) . Pikeun meungpeuk kerentanan, anjeun tiasa nganggo setélan "H2Push off".
  • CVE-2020-11985 - kerentanan mod_remoteip, nu ngidinan Anjeun pikeun spoof alamat IP salila proxying maké mod_remoteip na mod_rewrite. Masalahna ngan muncul pikeun release 2.4.1 ka 2.4.23.

Parobahan non-kaamanan anu paling kasohor nyaéta:

  • Rojongan pikeun draf spésifikasi geus dihapus tina mod_http2 kazuho-h2-cache-digest, anu promosina parantos dieureunkeun.
  • Ngarobah paripolah "LimitRequestFields" diréktif dina mod_http2 nangtukeun nilai 0 ayeuna disables wates.
  • mod_http2 nyadiakeun ngolah primér sarta sekundér (master / sekundér) sambungan jeung nyirian métode gumantung kana pamakéan.
  • Lamun eusi lulugu Pamungkas-Dirobah lepat nampi ti skrip FCGI/CGI, lulugu ieu ayeuna dihapus tinimbang diganti dina waktos Unix epoch.
  • Fungsi ap_parse_strict_length () geus ditambahkeun kana kode pikeun mastikeun parse ukuran eusi.
  • Mod_proxy_fcgi's ProxyFCGISetEnvIf mastikeun yén variabel lingkungan dihapus upami ekspresi anu dipasihkeun mulih Palsu.
  • Ngalereskeun kaayaan balapan sareng kamungkinan kacilakaan mod_ssl nalika nganggo sertipikat klien anu ditetepkeun via setelan SSLProxyMachineCertificateFile.
  • Bocor mémori tetep dina mod_ssl.
  • mod_proxy_http2 nyadiakeun pamakéan parameter proxy "ping»Sawaktos mariksa pungsionalitas sambungan anyar atawa dipaké deui kana backend nu.
  • Dieureunkeun mengikat httpd jeung "-lsystemd" pilihan nalika mod_systemd diaktipkeun.
  • mod_proxy_http2 ensures yén setélan ProxyTimeout dicokot kana akun nalika ngantosan data asup ngaliwatan sambungan kana backend nu.

sumber: opennet.ru

Tambahkeun komentar