ProHoster > blogg > internetnyheter > Apache 2.4.46 http-serverversion med sårbarheter fixade

Apache 2.4.46 http-serverversion med sårbarheter fixade

publiceras utgåvan av Apache HTTP-servern 2.4.46 (utgåvorna 2.4.44 och 2.4.45 hoppades över), vilket introducerade 17 ändringar och elimineras 3 sårbarheter:

  • CVE-2020-11984 — ett buffertspill i mod_proxy_uwsgi-modulen, vilket kan leda till informationsläckage eller kodexekvering på servern när en specialgjord begäran skickas. Sårbarheten utnyttjas genom att skicka en mycket lång HTTP-header. För skydd har blockering av rubriker längre än 16K lagts till (en gräns definierad i protokollspecifikationen).
  • CVE-2020-11993 — en sårbarhet i mod_http2-modulen som gör att processen kraschar när en begäran skickas med en specialdesignad HTTP/2-header. Problemet visar sig när felsökning eller spårning är aktiverat i mod_http2-modulen och återspeglas i minnesinnehållskorruption på grund av ett racetillstånd när information sparas i loggen. Problemet visas inte när LogLevel är inställt på "info".
  • CVE-2020-9490 — en sårbarhet i mod_http2-modulen som gör att en process kraschar när en begäran skickas via HTTP/2 med ett specialdesignat "Cache-Digest"-huvudvärde (kraschen inträffar när man försöker utföra en HTTP/2 PUSH-operation på en resurs) . För att blockera sårbarheten kan du använda inställningen "H2Push off".
  • CVE-2020-11985 — mod_remoteip sårbarhet, som gör att du kan förfalska IP-adresser under proxysändning med mod_remoteip och mod_rewrite. Problemet dyker bara upp för versionerna 2.4.1 till 2.4.23.

De mest anmärkningsvärda icke-säkerhetsändringarna är:

  • Stöd för utkastspecifikation har tagits bort från mod_http2 kazuho-h2-cache-digest, vars befordran har stoppats.
  • Ändrade beteendet för "LimitRequestFields"-direktivet i mod_http2; ange ett värde på 0 inaktiverar nu gränsen.
  • mod_http2 tillhandahåller bearbetning av primära och sekundära (master/sekundära) anslutningar och märkning av metoder beroende på användning.
  • Om felaktigt senast ändrad rubrikinnehåll tas emot från ett FCGI/CGI-skript, tas denna rubrik nu bort istället för att ersättas under Unix-epoktid.
  • Funktionen ap_parse_strict_length() har lagts till i koden för att strikt analysera innehållsstorleken.
  • Mod_proxy_fcgis ProxyFCGISetEnvIf säkerställer att miljövariabler tas bort om det givna uttrycket returnerar False.
  • Fixade ett tävlingstillstånd och möjlig mod_ssl-krasch när ett klientcertifikat angavs via SSLProxyMachineCertificateFile-inställningen.
  • Fixat minnesläcka i mod_ssl.
  • mod_proxy_http2 tillhandahåller användningen av proxyparametern "ping» när du kontrollerar funktionen hos en ny eller återanvänd anslutning till backend.
  • Slutade binda httpd med alternativet "-lsystemd" när mod_systemd är aktiverat.
  • mod_proxy_http2 säkerställer att ProxyTimeout-inställningen beaktas när man väntar på inkommande data via anslutningar till backend.

Källa: opennet.ru

Lägg en kommentar