ProHoster > Blog > ахбори интернет > Нашри сервери Apache 2.4.41 http бо осебпазириҳо ислоҳ

Нашри сервери Apache 2.4.41 http бо осебпазириҳо ислоҳ

нашр шудааст барориши сервери HTTP Apache 2.4.41 (версияи 2.4.40 гузаронида шуд), ки ҷорӣ карда шуд 23 тағйирот ва бартараф карда шуд 6 осебпазирӣ:

  • CVE-2019-10081 як масъала дар mod_http2 аст, ки метавонад ҳангоми ирсоли дархостҳои push дар марҳилаи хеле барвақт ба фасоди хотира оварда расонад. Ҳангоми истифода аз танзимоти "H2PushResource", хотираро дар ҳавзи коркарди дархост дубора навиштан мумкин аст, аммо мушкилот бо садама маҳдуд аст, зеро маълумоти навишташуда ба иттилооти аз муштарӣ гирифташуда асос надорад;
  • CVE-2019-9517 - таъсири охирин эълон кард осебпазирии DoS дар татбиқи HTTP/2.
    Ҳамлагар метавонад хотираи барои раванд мавҷудбударо тамом кунад ва бори вазнини CPU эҷод кунад, бо кушодани равзанаи ҳаракаткунандаи HTTP/2 барои сервер барои фиристодани маълумот бидуни маҳдудият, аммо пӯшида нигоҳ доштани равзанаи TCP ва аз навиштани маълумот ба васлаки воқеият пешгирӣ мекунад;

  • CVE-2019-10098 - мушкилот дар mod_rewrite, ки ба шумо имкон медиҳад, ки серверро барои ирсоли дархостҳо ба дигар захираҳо истифода баред (ба таври кушода масир). Баъзе танзимоти mod_rewrite метавонад боиси он гардад, ки корбар ба истиноди дигар интиқол дода шавад, ки бо истифода аз аломати сатри нав дар дохили параметре, ки дар масири мавҷуда истифода мешавад, рамзгузорӣ шудааст. Барои бастани мушкилот дар RegexDefaultOptions, шумо метавонед парчами PCRE_DOTALL-ро истифода баред, ки ҳоло бо нобаёнӣ муқаррар шудааст;
  • CVE-2019-10092 - қобилияти иҷро кардани скрипти байнисоҳавӣ дар саҳифаҳои хатогие, ки аз ҷониби mod_proxy нишон дода шудааст. Дар ин саҳифаҳо истинод URL-и аз дархост гирифташударо дар бар мегирад, ки дар он ҳамлакунанда метавонад рамзи HTML-и ихтиёриро тавассути фирор кардани аломатҳо ворид кунад;
  • CVE-2019-10097 — изофабори стек ва NULL ишоракунак дар mod_remoteip, ки тавассути коркарди сарлавҳаи протоколи PROXY истифода мешавад. Ҳамла метавонад танҳо аз ҷониби сервери прокси дар танзимот истифода шавад, на тавассути дархости муштарӣ;
  • CVE-2019-10082 - осебпазирӣ дар mod_http2, ки имкон медиҳад, ки дар лаҳзаи қатъи пайвастшавӣ оғоз кардани хондани мундариҷа аз минтақаи хотираи аллакай озодшуда (хондан пас аз озод).

Тағйироти муҳимтарин дар соҳаи амният:

  • mod_proxy_balancer муҳофизатро аз ҳамлаҳои XSS/XSRF аз ҳамсолони боэътимод беҳтар кардааст;
  • Танзимоти SessionExpiryUpdateInterval ба mod_session барои муайян кардани фосилаи навсозии вақти сеанс/кукиҳо илова карда шуд;
  • Саҳифаҳое, ки хатогиҳо доранд, тоза карда шуданд, ки ба бартараф кардани намоиши иттилоот аз дархостҳо дар ин саҳифаҳо нигаронида шудаанд;
  • mod_http2 арзиши параметри "LimitRequestFieldSize" -ро ба назар мегирад, ки қаблан танҳо барои санҷиши майдонҳои сарлавҳаи HTTP/1.1 эътибор дошт;
  • Кафолат медиҳад, ки конфигуратсияи mod_proxy_hcheck ҳангоми истифода дар BalancerMember сохта мешавад;
  • Кам кардани истеъмоли хотира дар mod_dav ҳангоми истифодаи фармони PROPFIND дар коллексияи калон;
  • Дар mod_proxy ва mod_ssl, мушкилот бо муайян кардани сертификат ва танзимоти SSL дар дохили блоки прокси ҳал карда шуданд;
  • mod_proxy имкон медиҳад, ки танзимоти SSLProxyCheckPeer* ба ҳамаи модулҳои прокси татбиқ карда шаванд;
  • Имкониятҳои модул васеъ карда шуданд mod_md, инкишоф дод Биёед лоиҳаро барои автоматикунонии қабул ва нигоҳдории сертификатҳо бо истифода аз протоколи ACME (Automatic Certificate Management Environment) рамзгузорӣ кунем:
    • Варианти дуюми протокол илова карда шуд ACMEv2, ки ҳоло пешфарз аст ва истифода мебарад дархостҳои холии POST ба ҷои GET.
    • Дастгирии иловашуда барои тафтиш дар асоси васеъшавии TLS-ALPN-01 (RFC 7301, Музокироти Протоколи Ариза-Қабати), ки дар HTTP/2 истифода мешавад.
    • Дастгирии усули санҷиши 'tls-sni-01' қатъ карда шуд (бо сабаби осебпазирӣ).
    • Фармонҳо барои танзим ва шикастани чек бо усули 'dns-01' илова карда шуданд.
    • Дастгирии иловашуда ниқобҳо дар сертификатҳо, вақте ки санҷиш дар асоси DNS фаъол аст ('dns-01').
    • Коркарди "md-status" ва саҳифаи ҳолати сертификат "https://domain/.httpd/certificate-status" амалӣ карда шуд.
    • Директиваҳои "MDCertificateFile" ва "MDCertificateKeyFile" барои танзими параметрҳои домен тавассути файлҳои статикӣ (бе дастгирии навсозии худкор) илова карда шуданд.
    • Директиваи "MDMessageCmd" барои занг задан ба фармонҳои беруна ҳангоми рух додани рӯйдодҳои "азнавсозӣ", "мӯҳлат гузаштан" ё "хатошуда" илова карда шуд.
    • Директиваи "MDWarnWindow" барои танзим кардани паёми огоҳкунанда дар бораи ба охир расидани мӯҳлати сертификат илова карда шуд;

Манбаъ: opennet.ru

Илова Эзоҳ