புரோஹோஸ்டர் > Блог > இணைய செய்தி > Apache 2.4.46 http சேவையக வெளியீடு பாதிப்புகளுடன் சரி செய்யப்பட்டது

Apache 2.4.46 http சேவையக வெளியீடு பாதிப்புகளுடன் சரி செய்யப்பட்டது

வெளியிடப்பட்டது Apache HTTP சர்வர் 2.4.46 வெளியீடு (வெளியீடுகள் 2.4.44 மற்றும் 2.4.45 தவிர்க்கப்பட்டது), இது அறிமுகப்படுத்தப்பட்டது 17 மாற்றங்கள் மற்றும் நீக்கப்பட்டது 3 பாதிப்புகள்:

  • CVE-2020-11984 — mod_proxy_uwsgi தொகுதியில் ஒரு இடையக வழிதல், இது சிறப்பாக வடிவமைக்கப்பட்ட கோரிக்கையை அனுப்பும் போது சர்வரில் தகவல் கசிவு அல்லது குறியீடு செயலாக்கத்திற்கு வழிவகுக்கும். மிக நீளமான HTTP தலைப்பை அனுப்புவதன் மூலம் பாதிப்பு பயன்படுத்தப்படுகிறது. பாதுகாப்பிற்காக, 16K க்கும் அதிகமான தலைப்புகளைத் தடுப்பது சேர்க்கப்பட்டுள்ளது (நெறிமுறை விவரக்குறிப்பில் வரையறுக்கப்பட்ட வரம்பு).
  • CVE-2020-11993 — mod_http2 தொகுதியில் உள்ள பாதிப்பு, இது சிறப்பாக வடிவமைக்கப்பட்ட HTTP/2 தலைப்புடன் கோரிக்கையை அனுப்பும் போது செயலிழக்க அனுமதிக்கிறது. mod_http2 தொகுதியில் பிழைத்திருத்தம் அல்லது தடமறிதல் இயக்கப்பட்டிருக்கும் போது சிக்கல் தன்னை வெளிப்படுத்துகிறது மற்றும் பதிவில் தகவலைச் சேமிக்கும் போது ஒரு இனம் நிலை காரணமாக நினைவக உள்ளடக்க சிதைவில் பிரதிபலிக்கிறது. LogLevel "தகவல்" என அமைக்கப்படும் போது சிக்கல் தோன்றாது.
  • CVE-2020-9490 — mod_http2 தொகுதியில் உள்ள பாதிப்பு, இது பிரத்யேகமாக வடிவமைக்கப்பட்ட 'கேச்-டைஜெஸ்ட்' தலைப்பு மதிப்புடன் HTTP/2 வழியாக கோரிக்கையை அனுப்பும் போது செயலிழக்க அனுமதிக்கும் (ஒரு வளத்தில் HTTP/2 PUSH செயல்பாட்டைச் செய்ய முயற்சிக்கும்போது செயலிழப்பு ஏற்படுகிறது) . பாதிப்பைத் தடுக்க, நீங்கள் "H2Push off" அமைப்பைப் பயன்படுத்தலாம்.
  • CVE-2020-11985 — mod_remoteip பாதிப்பு, இது mod_remoteip மற்றும் mod_rewrite ஐப் பயன்படுத்தி ப்ராக்ஸியின் போது IP முகவரிகளை ஏமாற்ற அனுமதிக்கிறது. 2.4.1 முதல் 2.4.23 வரையிலான வெளியீடுகளுக்கு மட்டுமே சிக்கல் தோன்றும்.

மிகவும் குறிப்பிடத்தக்க பாதுகாப்பு அல்லாத மாற்றங்கள்:

  • வரைவு விவரக்குறிப்புக்கான ஆதரவு mod_http2 இலிருந்து அகற்றப்பட்டது kazuho-h2-cache-digest, யாருடைய பதவி உயர்வு நிறுத்தப்பட்டது.
  • mod_http2 இல் "LimitRequestFields" கட்டளையின் நடத்தை மாற்றப்பட்டது; 0 இன் மதிப்பைக் குறிப்பிடுவது வரம்பை முடக்குகிறது.
  • mod_http2 முதன்மை மற்றும் இரண்டாம் நிலை (முதன்மை/இரண்டாம் நிலை) இணைப்புகளின் செயலாக்கம் மற்றும் பயன்பாட்டைப் பொறுத்து முறைகளைக் குறிக்கும்.
  • FCGI/CGI ஸ்கிரிப்ட்டிலிருந்து தவறான கடைசியாக மாற்றப்பட்ட தலைப்பு உள்ளடக்கம் பெறப்பட்டால், இந்த தலைப்பு Unix சகாப்தத்தில் மாற்றப்படுவதற்குப் பதிலாக இப்போது அகற்றப்படும்.
  • உள்ளடக்க அளவைக் கண்டிப்பாக அலச, ap_parse_strict_length() செயல்பாடு குறியீட்டில் சேர்க்கப்பட்டுள்ளது.
  • Mod_proxy_fcgi இன் ProxyFCGISetEnvIf ஆனது, கொடுக்கப்பட்ட வெளிப்பாடு தவறானதாக இருந்தால் சூழல் மாறிகள் அகற்றப்படுவதை உறுதி செய்கிறது.
  • SSLProxyMachineCertificateFile அமைப்பு மூலம் குறிப்பிடப்பட்ட கிளையன்ட் சான்றிதழைப் பயன்படுத்தும் போது ரேஸ் நிலை மற்றும் சாத்தியமான mod_ssl செயலிழப்பு சரி செய்யப்பட்டது.
  • mod_ssl இல் நிலையான நினைவக கசிவு.
  • mod_proxy_http2 ப்ராக்ஸி அளவுருவின் பயன்பாட்டை வழங்குகிறது "பிங்»பின்தளத்தில் புதிய அல்லது மீண்டும் பயன்படுத்தப்பட்ட இணைப்பின் செயல்பாட்டைச் சரிபார்க்கும் போது.
  • mod_systemd இயக்கப்பட்டிருக்கும் போது "-lsystemd" விருப்பத்துடன் httpd பிணைப்பு நிறுத்தப்பட்டது.
  • mod_proxy_http2 ஆனது பின்தளத்தில் இணைப்புகள் மூலம் உள்வரும் தரவுக்காக காத்திருக்கும் போது ProxyTimeout அமைப்பு கணக்கில் எடுத்துக்கொள்ளப்படுவதை உறுதி செய்கிறது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்