ProHoster > blog > habari za mtandao > Utoaji wa seva ya Apache 2.4.46 http na udhaifu umewekwa

Utoaji wa seva ya Apache 2.4.46 http na udhaifu umewekwa

iliyochapishwa kutolewa kwa seva ya Apache HTTP 2.4.46 (matoleo 2.4.44 na 2.4.45 yalirukwa), ambayo ilianzisha 17 mabadiliko na kuondolewa 3 udhaifu:

  • CVE-2020-11984 β€” bafa inafurika katika moduli ya mod_proxy_uwsgi, ambayo inaweza kusababisha kuvuja kwa taarifa au utekelezaji wa msimbo kwenye seva wakati wa kutuma ombi lililoundwa mahususi. Athari hii inatumika vibaya kwa kutuma kichwa kirefu sana cha HTTP. Kwa ulinzi, kuzuia vichwa vya muda mrefu zaidi ya 16K kumeongezwa (kikomo kilichoelezwa katika vipimo vya itifaki).
  • CVE-2020-11993 - uwezekano wa kuathiriwa katika moduli ya mod_http2 inayoruhusu mchakato kuvurugika wakati wa kutuma ombi kwa kichwa kilichoundwa mahususi cha HTTP/2. Tatizo hujidhihirisha wakati utatuzi au ufuatiliaji umewashwa katika moduli ya mod_http2 na huonyeshwa katika uharibifu wa maudhui ya kumbukumbu kutokana na hali ya mbio wakati wa kuhifadhi maelezo kwenye kumbukumbu. Tatizo halionekani wakati LogLevel imewekwa kuwa "maelezo".
  • CVE-2020-9490 - kuathiriwa katika moduli ya mod_http2 ambayo huruhusu mchakato kuvurugika wakati wa kutuma ombi kupitia HTTP/2 na thamani ya kichwa iliyoundwa mahususi ya 'Cache-Digest' (kuacha kufanya kazi hutokea wakati wa kujaribu kutekeleza operesheni ya HTTP/2 PUSH kwenye rasilimali) . Ili kuzuia athari, unaweza kutumia mpangilio wa "H2Push off".
  • CVE-2020-11985 - kuathirika kwa mod_remoteip, ambayo hukuruhusu kuharibu anwani za IP wakati wa kutoa seva mbadala kwa kutumia mod_remoteip na mod_rewrite. Tatizo linaonekana tu kwa matoleo 2.4.1 hadi 2.4.23.

Mabadiliko muhimu zaidi yasiyo ya usalama:

  • Usaidizi wa vipimo vya rasimu umeondolewa kwenye mod_http2 kazuho-h2-cache-digest, ambaye kukuza kwake kumesimamishwa.
  • Ilibadilisha tabia ya maagizo ya "LimitRequestFields" katika mod_http2; kubainisha thamani ya 0 sasa huzima kikomo.
  • mod_http2 hutoa usindikaji wa miunganisho ya msingi na sekondari (bwana/sekondari) na kuweka alama kwa njia kulingana na matumizi.
  • Ikiwa maudhui ya kichwa ya Marekebisho ya Mwisho yatapokelewa kutoka kwa hati ya FCGI/CGI, kichwa hiki sasa kinaondolewa badala ya kubadilishwa kwa wakati wa Unix.
  • Chaguo za kukokotoa za ap_parse_strict_length() zimeongezwa kwenye msimbo ili kuchanganua kwa ukali ukubwa wa maudhui.
  • ProxyFCGISetEnvIf ya Mod_proxy_fcgi inahakikisha kuwa vigeu vya mazingira vinaondolewa ikiwa usemi uliotolewa unarudi Uongo.
  • Ilirekebisha hali ya mbio na uwezekano wa ajali ya mod_ssl wakati wa kutumia cheti cha mteja kilichobainishwa kupitia mpangilio wa SSLProxyMachineCertificateFile.
  • Uvujaji wa kumbukumbu usiobadilika katika mod_ssl.
  • mod_proxy_http2 hutoa matumizi ya parameta ya wakala "PingΒ» unapokagua utendakazi wa muunganisho mpya au uliotumika tena kwa upande wa nyuma.
  • Iliacha kumfunga httpd na chaguo la "-lsystemd" mod_systemd ikiwashwa.
  • mod_proxy_http2 huhakikisha kuwa mpangilio wa ProxyTimeout unazingatiwa wakati wa kusubiri data inayoingia kupitia miunganisho ya nyuma.

Chanzo: opennet.ru

Kuongeza maoni