ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > అపాచీ 2.4.46 http సర్వర్ విడుదల బలహీనతలతో పరిష్కరించబడింది

అపాచీ 2.4.46 http సర్వర్ విడుదల బలహీనతలతో పరిష్కరించబడింది

ప్రచురించబడింది Apache HTTP సర్వర్ 2.4.46 విడుదల (విడుదలలు 2.4.44 మరియు 2.4.45 దాటవేయబడ్డాయి), ఇది పరిచయం చేయబడింది 17 మార్పులు మరియు తొలగించబడింది 3 దుర్బలత్వాలు:

  • CVE-2020-11984 — mod_proxy_uwsgi మాడ్యూల్‌లో బఫర్ ఓవర్‌ఫ్లో, ఇది ప్రత్యేకంగా రూపొందించిన అభ్యర్థనను పంపేటప్పుడు సర్వర్‌లో సమాచార లీకేజీకి లేదా కోడ్ అమలుకు దారి తీస్తుంది. చాలా పొడవైన HTTP హెడర్‌ని పంపడం ద్వారా దుర్బలత్వం ఉపయోగించబడింది. రక్షణ కోసం, 16K కంటే ఎక్కువ హెడర్‌లను నిరోధించడం జోడించబడింది (ప్రోటోకాల్ స్పెసిఫికేషన్‌లో పరిమితి నిర్వచించబడింది).
  • CVE-2020-11993 — ప్రత్యేకంగా రూపొందించిన HTTP/2 హెడర్‌తో అభ్యర్థనను పంపేటప్పుడు క్రాష్ అయ్యే ప్రక్రియను అనుమతించే mod_http2 మాడ్యూల్‌లోని దుర్బలత్వం. mod_http2 మాడ్యూల్‌లో డీబగ్గింగ్ లేదా ట్రేసింగ్ ప్రారంభించబడినప్పుడు సమస్య స్వయంగా వ్యక్తమవుతుంది మరియు లాగ్‌కు సమాచారాన్ని సేవ్ చేస్తున్నప్పుడు రేస్ పరిస్థితి కారణంగా మెమరీ కంటెంట్ అవినీతిలో ప్రతిబింబిస్తుంది. లాగ్‌లెవెల్ "సమాచారం"కి సెట్ చేయబడినప్పుడు సమస్య కనిపించదు.
  • CVE-2020-9490 — ప్రత్యేకంగా రూపొందించిన 'కాష్-డైజెస్ట్' హెడర్ విలువతో HTTP/2 ద్వారా అభ్యర్థనను పంపేటప్పుడు క్రాష్ అయ్యే ప్రక్రియను అనుమతించే mod_http2 మాడ్యూల్‌లోని దుర్బలత్వం (రిసోర్స్‌పై HTTP/2 పుష్ ఆపరేషన్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు క్రాష్ సంభవిస్తుంది) . దుర్బలత్వాన్ని నిరోధించడానికి, మీరు "H2Push off" సెట్టింగ్‌ని ఉపయోగించవచ్చు.
  • CVE-2020-11985 — mod_remoteip దుర్బలత్వం, ఇది mod_remoteip మరియు mod_rewrite ఉపయోగించి ప్రాక్సీ చేస్తున్నప్పుడు IP చిరునామాలను మోసగించడానికి మిమ్మల్ని అనుమతిస్తుంది. సమస్య 2.4.1 నుండి 2.4.23 విడుదలలకు మాత్రమే కనిపిస్తుంది.

అత్యంత ముఖ్యమైన నాన్-సెక్యూరిటీ మార్పులు:

  • mod_http2 నుండి డ్రాఫ్ట్ స్పెసిఫికేషన్‌కు మద్దతు తీసివేయబడింది kazuho-h2-cache-digest, వీరి ప్రమోషన్ నిలిపివేయబడింది.
  • mod_http2లో "LimitRequestFields" నిర్దేశకం యొక్క ప్రవర్తన మార్చబడింది; 0 విలువను పేర్కొనడం ఇప్పుడు పరిమితిని నిలిపివేస్తుంది.
  • mod_http2 ప్రైమరీ మరియు సెకండరీ (మాస్టర్/సెకండరీ) కనెక్షన్‌ల ప్రాసెసింగ్ మరియు వినియోగాన్ని బట్టి పద్ధతుల మార్కింగ్‌ని అందిస్తుంది.
  • FCGI/CGI స్క్రిప్ట్ నుండి తప్పుగా చివరిగా సవరించబడిన హెడర్ కంటెంట్ స్వీకరించబడితే, ఈ హెడర్ ఇప్పుడు Unix ఎపోచ్ టైమ్‌లో భర్తీ కాకుండా తీసివేయబడుతుంది.
  • కంటెంట్ పరిమాణాన్ని ఖచ్చితంగా అన్వయించడానికి ap_parse_strict_length() ఫంక్షన్ కోడ్‌కి జోడించబడింది.
  • Mod_proxy_fcgi యొక్క ProxyFCGISetEnvIf ఇచ్చిన వ్యక్తీకరణ తప్పుగా తిరిగితే పర్యావరణ వేరియబుల్స్ తీసివేయబడతాయని నిర్ధారిస్తుంది.
  • SSLProxyMachineCertificateFile సెట్టింగ్ ద్వారా పేర్కొన్న క్లయింట్ సర్టిఫికేట్‌ను ఉపయోగిస్తున్నప్పుడు రేస్ పరిస్థితి మరియు mod_ssl క్రాష్ సాధ్యమయ్యేలా పరిష్కరించబడింది.
  • mod_sslలో స్థిర మెమరీ లీక్.
  • mod_proxy_http2 ప్రాక్సీ పరామితి వినియోగాన్ని అందిస్తుంది "పింగ్» బ్యాకెండ్‌కి కొత్త లేదా తిరిగి ఉపయోగించిన కనెక్షన్ యొక్క కార్యాచరణను తనిఖీ చేస్తున్నప్పుడు.
  • mod_systemd ప్రారంభించబడినప్పుడు "-lsystemd" ఎంపికతో httpd బైండింగ్ నిలిపివేయబడింది.
  • mod_proxy_http2 బ్యాకెండ్‌కు కనెక్షన్‌ల ద్వారా ఇన్‌కమింగ్ డేటా కోసం వేచి ఉన్నప్పుడు ProxyTimeout సెట్టింగ్ పరిగణనలోకి తీసుకోబడుతుందని నిర్ధారిస్తుంది.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి