ProHoster > blog > habari za mtandao > Utoaji wa seva ya Apache 2.4.41 http na udhaifu umewekwa

Utoaji wa seva ya Apache 2.4.41 http na udhaifu umewekwa

iliyochapishwa kutolewa kwa seva ya Apache HTTP 2.4.41 (toleo la 2.4.40 lilirukwa), ambayo ilianzisha 23 mabadiliko na kuondolewa 6 udhaifu:

  • CVE-2019-10081 ni suala katika mod_http2 ambalo linaweza kusababisha uharibifu wa kumbukumbu wakati wa kutuma maombi ya kushinikiza katika hatua ya mapema sana. Unapotumia mpangilio wa "H2PushResource", inawezekana kufuta kumbukumbu katika hifadhi ya usindikaji wa ombi, lakini tatizo ni mdogo kwa ajali kwa sababu data inayoandikwa haitokani na taarifa iliyopokelewa kutoka kwa mteja;
  • CVE-2019-9517 - mfiduo wa hivi karibuni alitangaza Athari za DoS katika utekelezaji wa HTTP/2.
    Mshambulizi anaweza kumaliza kumbukumbu inayopatikana kwa mchakato na kuunda mzigo mzito wa CPU kwa kufungua dirisha la HTTP/2 la kuteleza kwa seva kutuma data bila vikwazo, lakini kuweka dirisha la TCP limefungwa, kuzuia data kuandikwa kwenye tundu;

  • CVE-2019-10098 - tatizo katika mod_rewrite, ambayo inakuwezesha kutumia seva ili kupeleka maombi kwa rasilimali nyingine (fungua kuelekeza). Baadhi ya mipangilio ya mod_rewrite inaweza kusababisha mtumiaji kutumwa kwa kiungo kingine, kilichosimbwa kwa kutumia herufi mpya ndani ya kigezo kinachotumika katika uelekezaji upya uliopo. Ili kuzuia tatizo katika RegexDefaultOptions, unaweza kutumia bendera ya PCRE_DOTALL, ambayo sasa imewekwa kwa chaguo-msingi;
  • CVE-2019-10092 - uwezo wa kufanya uandishi wa tovuti tofauti kwenye kurasa za makosa zinazoonyeshwa na mod_proxy. Kwenye kurasa hizi, kiungo kina URL iliyopatikana kutokana na ombi, ambamo mshambulizi anaweza kuingiza msimbo wa HTML wa kiholela kupitia kutoroka kwa herufi;
  • CVE-2019-10097 - kufurika kwa rafu na kielekezi NULL katika mod_remoteip, kilichotumiwa kupitia upotoshaji wa kichwa cha itifaki cha PROXY. Shambulio linaweza tu kufanywa kutoka kwa upande wa seva ya wakala inayotumiwa katika mipangilio, na sio kupitia ombi la mteja;
  • CVE-2019-10082 - kuathirika katika mod_http2 ambayo inaruhusu, wakati wa kusitishwa kwa muunganisho, kuanzisha usomaji wa yaliyomo kutoka eneo la kumbukumbu ambalo tayari limeachiliwa (kusoma-baada ya bila malipo).

Mabadiliko muhimu zaidi yasiyo ya usalama:

  • mod_proxy_balancer imeboresha ulinzi dhidi ya mashambulizi ya XSS/XSRF kutoka kwa wenzao wanaoaminika;
  • Mpangilio wa SessionExpiryUpdateInterval umeongezwa kwa mod_session ili kubaini muda wa kusasisha muda wa kuisha kwa kipindi/kidakuzi;
  • Kurasa zilizo na makosa zilisafishwa, kwa lengo la kuondoa maonyesho ya habari kutoka kwa maombi kwenye kurasa hizi;
  • mod_http2 inazingatia thamani ya parameta ya "LimitRequestFieldSize", ambayo hapo awali ilikuwa halali tu kwa kuangalia sehemu za kichwa cha HTTP/1.1;
  • Inahakikisha kwamba usanidi wa mod_proxy_hcheck umeundwa unapotumiwa katika BalancerMember;
  • Kupunguza matumizi ya kumbukumbu katika mod_dav wakati wa kutumia amri ya PROPFIND kwenye mkusanyiko mkubwa;
  • Katika mod_proksi na mod_ssl, matatizo ya kubainisha cheti na mipangilio ya SSL ndani ya kizuizi cha Proksi yametatuliwa;
  • mod_proxy huruhusu mipangilio ya SSLProxyCheckPeer* kutumika kwa moduli zote za seva mbadala;
  • Uwezo wa moduli umepanuliwa mod_md, kuendelezwa Wacha Tusimbe kwa njia fiche mradi wa kubinafsisha upokeaji na matengenezo ya vyeti kwa kutumia itifaki ya ACME (Mazingira ya Usimamizi wa Cheti Kiotomatiki):
    • Imeongeza toleo la pili la itifaki ACMEv2, ambayo sasa ndiyo chaguo-msingi na hutumia maombi tupu ya POST badala ya GET.
    • Usaidizi ulioongezwa wa uthibitishaji kulingana na kiendelezi cha TLS-ALPN-01 (RFC 7301, Majadiliano ya Itifaki ya Tabaka la Maombi), ambayo inatumika katika HTTP/2.
    • Usaidizi wa mbinu ya uthibitishaji ya 'tls-sni-01' umekatishwa (kutokana na udhaifu).
    • Amri zilizoongezwa za kusanidi na kuvunja hundi kwa kutumia mbinu ya 'dns-01'.
    • Aliongeza msaada vinyago katika vyeti wakati uthibitishaji kulingana na DNS umewashwa ('dns-01').
    • Kidhibiti cha 'md-status' kilichotekelezwa na ukurasa wa hali ya cheti 'https://domain/.httpd/certificate-status'.
    • Maagizo ya "MDCertificateFile" na "MDCertificateKeyFile" yameongezwa kwa ajili ya kusanidi vigezo vya kikoa kupitia faili tuli (bila usaidizi wa kusasisha kiotomatiki).
    • Agizo la "MDMessageCmd" limeongezwa ili kuita amri za nje wakati matukio 'yamesasishwa', 'kuisha muda wake' au 'makosa' yanapotokea.
    • Imeongeza maagizo ya "MDWarnWindow" ili kusanidi ujumbe wa onyo kuhusu kuisha kwa muda wa cheti;

Chanzo: opennet.ru

Kuongeza maoni