Apache 2.4.41 http-serverversion med sårbarheter fixade
publiceras release av Apache HTTP-server 2.4.41 (version 2.4.40 hoppades över), som introducerade 23 ändringar och elimineras 6 sårbarheter:
CVE-2019-10081 är ett problem i mod_http2 som kan leda till minneskorruption när man skickar push-förfrågningar i ett mycket tidigt skede. När du använder inställningen "H2PushResource" är det möjligt att skriva över minnet i förfrågningsbehandlingspoolen, men problemet är begränsat till en krasch eftersom data som skrivs inte är baserad på information som tas emot från klienten;
CVE-2019-9517 - senaste exponering meddelat DoS-sårbarheter i HTTP/2-implementationer.
En angripare kan tömma minnet som är tillgängligt för en process och skapa en tung CPU-belastning genom att öppna ett glidande HTTP/2-fönster för servern att skicka data utan begränsningar, men hålla TCP-fönstret stängt, vilket förhindrar att data faktiskt skrivs till sockeln;
CVE-2019-10098 - ett problem i mod_rewrite, vilket gör att du kan använda servern för att vidarebefordra förfrågningar till andra resurser (öppen omdirigering). Vissa mod_rewrite-inställningar kan leda till att användaren vidarebefordras till en annan länk, kodad med ett nyradstecken i en parameter som används i en befintlig omdirigering. För att blockera problemet i RegexDefaultOptions kan du använda flaggan PCRE_DOTALL, som nu är inställd som standard;
CVE-2019-10092 - Möjligheten att utföra cross-site scripting på felsidor som visas av mod_proxy. På dessa sidor innehåller länken URL-adressen som erhålls från begäran, där en angripare kan infoga godtycklig HTML-kod genom teckensläckning;
CVE-2019-10097 — stack overflow och NULL-pekaredereferens i mod_remoteip, utnyttjad genom manipulering av PROXY-protokollets rubrik. Attacken kan endast utföras från sidan av proxyservern som används i inställningarna, och inte genom en klientförfrågan;
CVE-2019-10082 - en sårbarhet i mod_http2 som gör det möjligt att, i ögonblicket för upphörande av anslutningen, initiera läsning av innehåll från ett redan frigjort minnesområde (läs-efter-fritt).
De mest anmärkningsvärda icke-säkerhetsändringarna är:
mod_proxy_balancer har förbättrat skydd mot XSS/XSRF-attacker från betrodda kamrater;
En SessionExpiryUpdateInterval-inställning har lagts till mod_session för att bestämma intervallet för uppdatering av sessionens/cookiens utgångstid;
Sidor med fel rensades, i syfte att eliminera visningen av information från förfrågningar på dessa sidor;
mod_http2 tar hänsyn till värdet på parametern "LimitRequestFieldSize", som tidigare endast var giltig för att kontrollera HTTP/1.1-huvudfält;
Säkerställer att mod_proxy_hcheck-konfigurationen skapas när den används i BalancerMember;
Minskad minnesförbrukning i mod_dav när du använder kommandot PROPFIND på en stor samling;
I mod_proxy och mod_ssl har problem med att ange certifikat och SSL-inställningar i proxyblocket lösts;
mod_proxy tillåter SSLProxyCheckPeer*-inställningar att tillämpas på alla proxymoduler;
Modulkapaciteten utökades mod_md, tagit fram Let's Encrypt-projektet för att automatisera mottagandet och underhållet av certifikat med hjälp av ACME-protokollet (Automatic Certificate Management Environment):
Lade till andra versionen av protokollet ACMEv2, som nu är standard och användningsområden tomma POST-förfrågningar istället för GET.
Lade till stöd för verifiering baserat på tillägget TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), som används i HTTP/2.
Stöd för verifieringsmetoden 'tls-sni-01' har avbrutits (på grund av sårbarheter).
Lade till kommandon för att ställa in och bryta kontrollen med 'dns-01'-metoden.
Lagt till stöd masker i certifikat när DNS-baserad verifiering är aktiverad ('dns-01').
Implementerad 'md-status'-hanterare och certifikatstatussida 'https://domain/.httpd/certificate-status'.
Lade till direktiven "MDCertificateFile" och "MDCertificateKeyFile" för att konfigurera domänparametrar genom statiska filer (utan stöd för automatisk uppdatering).
Lade till direktivet "MDMessageCmd" för att anropa externa kommandon när "förnyade", "förfaller" eller "fel" händelser inträffar.
Lade till direktivet "MDWarnWindow" för att konfigurera ett varningsmeddelande om certifikatets utgång;