புரோஹோஸ்டர் > Блог > இணைய செய்தி > Apache 2.4.41 http சேவையக வெளியீடு பாதிப்புகளுடன் சரி செய்யப்பட்டது

Apache 2.4.41 http சேவையக வெளியீடு பாதிப்புகளுடன் சரி செய்யப்பட்டது

வெளியிடப்பட்டது Apache HTTP சர்வரின் வெளியீடு 2.4.41 (வெளியீடு 2.4.40 தவிர்க்கப்பட்டது), இது அறிமுகப்படுத்தப்பட்டது 23 மாற்றங்கள் மற்றும் நீக்கப்பட்டது 6 பாதிப்புகள்:

  • CVE-2019-10081 mod_http2 இல் உள்ள ஒரு சிக்கலாகும், இது ஆரம்ப கட்டத்தில் புஷ் கோரிக்கைகளை அனுப்பும் போது நினைவக சிதைவுக்கு வழிவகுக்கும். "H2PushResource" அமைப்பைப் பயன்படுத்தும் போது, ​​கோரிக்கை செயலாக்கக் குளத்தில் நினைவகத்தை மேலெழுத முடியும், ஆனால் கிளையண்டிடம் இருந்து பெறப்பட்ட தகவலின் அடிப்படையில் எழுதப்பட்ட தரவு இல்லாததால், சிக்கல் ஒரு செயலிழப்பிற்கு மட்டுப்படுத்தப்பட்டது;
  • CVE-2019-9517 - சமீபத்திய வெளிப்பாடு அறிவித்தார் HTTP/2 செயலாக்கங்களில் DoS பாதிப்புகள்.
    தாக்குபவர் ஒரு செயல்முறைக்கு இருக்கும் நினைவகத்தை தீர்ந்துவிடலாம் மற்றும் ஒரு ஸ்லைடிங் HTTP/2 விண்டோவை சர்வரில் திறப்பதன் மூலம் அதிக CPU லோடை உருவாக்கலாம்.

  • CVE-2019-10098 - mod_rewrite இல் ஒரு சிக்கல், இது சேவையகத்தைப் பயன்படுத்தி பிற ஆதாரங்களுக்கு கோரிக்கைகளை அனுப்ப உங்களை அனுமதிக்கிறது (திறந்த திசைதிருப்பல்). சில mod_rewrite அமைப்புகள் பயனரை வேறொரு இணைப்பிற்கு அனுப்பலாம், ஏற்கனவே உள்ள திசைதிருப்பலில் பயன்படுத்தப்படும் அளவுருவில் புதிய வரி எழுத்தைப் பயன்படுத்தி குறியாக்கம் செய்யப்படலாம். RegexDefaultOptions இல் சிக்கலைத் தடுக்க, நீங்கள் PCRE_DOTALL கொடியைப் பயன்படுத்தலாம், இது இப்போது இயல்புநிலையாக அமைக்கப்பட்டுள்ளது;
  • CVE-2019-10092 - mod_proxy ஆல் காட்டப்படும் பிழைப் பக்கங்களில் குறுக்கு-தள ஸ்கிரிப்டிங்கைச் செய்யும் திறன். இந்தப் பக்கங்களில், இணைப்பு கோரிக்கையிலிருந்து பெறப்பட்ட URL ஐக் கொண்டுள்ளது, இதில் கேரக்டர் எஸ்கேப்பிங் மூலம் தாக்குபவர் தன்னிச்சையான HTML குறியீட்டைச் செருகலாம்;
  • CVE-2019-10097 — mod_remoteip இல் ஸ்டாக் ஓவர்ஃப்ளோ மற்றும் NULL பாயிண்டர் டிரெஃபரன்ஸ், ப்ராக்ஸி புரோட்டோகால் ஹெடரைக் கையாளுவதன் மூலம் பயன்படுத்தப்படுகிறது. அமைப்புகளில் பயன்படுத்தப்படும் ப்ராக்ஸி சேவையகத்தின் பக்கத்திலிருந்து மட்டுமே தாக்குதலை மேற்கொள்ள முடியும், ஆனால் கிளையன்ட் கோரிக்கை மூலம் அல்ல;
  • CVE-2019-10082 - mod_http2 இல் உள்ள பாதிப்பு, இணைப்பு நிறுத்தப்படும் நேரத்தில், ஏற்கனவே விடுவிக்கப்பட்ட நினைவகப் பகுதியிலிருந்து (படிக்க-பின்-இலவசம்) உள்ளடக்கங்களைப் படிக்கத் தொடங்க அனுமதிக்கிறது.

மிகவும் குறிப்பிடத்தக்க பாதுகாப்பு அல்லாத மாற்றங்கள்:

  • mod_proxy_balancer நம்பகமான சகாக்களிடமிருந்து XSS/XSRF தாக்குதல்களுக்கு எதிராக மேம்பட்ட பாதுகாப்பைக் கொண்டுள்ளது;
  • அமர்வு/குக்கீ காலாவதி நேரத்தைப் புதுப்பிப்பதற்கான இடைவெளியைத் தீர்மானிக்க, mod_session இல் SessionExpiryUpdateInterval அமைப்பு சேர்க்கப்பட்டது;
  • இந்தப் பக்கங்களில் உள்ள கோரிக்கைகளிலிருந்து தகவல் காட்சியை நீக்குவதை நோக்கமாகக் கொண்டு, பிழைகள் உள்ள பக்கங்கள் சுத்தம் செய்யப்பட்டன;
  • mod_http2 ஆனது "LimitRequestFieldSize" அளவுருவின் மதிப்பைக் கணக்கில் எடுத்துக்கொள்கிறது, இது HTTP/1.1 தலைப்புப் புலங்களைச் சரிபார்க்க மட்டுமே முன்பு செல்லுபடியாகும்;
  • BalancerMember இல் பயன்படுத்தும்போது mod_proxy_hcheck உள்ளமைவு உருவாக்கப்படுவதை உறுதி செய்கிறது;
  • ஒரு பெரிய சேகரிப்பில் PROPFIND கட்டளையைப் பயன்படுத்தும் போது mod_dav இல் நினைவக நுகர்வு குறைக்கப்பட்டது;
  • mod_proxy மற்றும் mod_ssl இல், ப்ராக்ஸி தொகுதிக்குள் சான்றிதழ் மற்றும் SSL அமைப்புகளைக் குறிப்பிடுவதில் உள்ள சிக்கல்கள் தீர்க்கப்பட்டன;
  • mod_proxy ஆனது SSLProxyCheckPeer* அமைப்புகளை அனைத்து ப்ராக்ஸி தொகுதிகளுக்கும் பயன்படுத்த அனுமதிக்கிறது;
  • தொகுதி திறன்கள் விரிவாக்கப்பட்டன mod_md, உருவாக்கப்பட்டது ACME (தானியங்கி சான்றிதழ் மேலாண்மை சூழல்) நெறிமுறையைப் பயன்படுத்தி சான்றிதழ்களின் ரசீது மற்றும் பராமரிப்பை தானியங்குபடுத்தும் திட்டத்தை குறியாக்கம் செய்வோம்:
    • நெறிமுறையின் இரண்டாவது பதிப்பு சேர்க்கப்பட்டது ACMEv2, இது இப்போது இயல்புநிலை மற்றும் பயன்கள் GET க்கு பதிலாக வெற்று POST கோரிக்கைகள்.
    • HTTP/01 இல் பயன்படுத்தப்படும் TLS-ALPN-7301 நீட்டிப்பு (RFC 2, அப்ளிகேஷன்-லேயர் புரோட்டோகால் நெகோஷியேஷன்) அடிப்படையில் சரிபார்ப்புக்கான ஆதரவு சேர்க்கப்பட்டது.
    • 'tls-sni-01' சரிபார்ப்பு முறைக்கான ஆதரவு நிறுத்தப்பட்டது (காரணமாக பாதிப்புகள்).
    • 'dns-01' முறையைப் பயன்படுத்தி காசோலையை அமைப்பதற்கும் உடைப்பதற்கும் கட்டளைகள் சேர்க்கப்பட்டன.
    • ஆதரவு சேர்க்கப்பட்டது முகமூடிகள் சான்றிதழ்களில் DNS அடிப்படையிலான சரிபார்ப்பு இயக்கப்படும் போது ('dns-01').
    • 'md-status' ஹேண்ட்லர் மற்றும் சான்றிதழ் நிலைப் பக்கம் 'https://domain/.httpd/certificate-status' செயல்படுத்தப்பட்டது.
    • நிலையான கோப்புகள் மூலம் டொமைன் அளவுருக்களை உள்ளமைக்க "MDCertificateFile" மற்றும் "MDCertificateKeyFile" வழிமுறைகள் சேர்க்கப்பட்டது (தானியங்கு புதுப்பிப்பு ஆதரவு இல்லாமல்).
    • 'புதுப்பிக்கப்பட்ட', 'காலாவதியாகும்' அல்லது 'பிழை' நிகழ்வுகள் நிகழும்போது வெளிப்புறக் கட்டளைகளை அழைக்க "MDMessageCmd" கட்டளை சேர்க்கப்பட்டது.
    • சான்றிதழ் காலாவதியாகும் எச்சரிக்கை செய்தியை உள்ளமைக்க "MDWarnWindow" கட்டளை சேர்க்கப்பட்டது;

ஆதாரம்: opennet.ru

கருத்தைச் சேர்