-
CVE-2020-11984 — บัฟเฟอร์ล้นในโมดูล mod_proxy_uwsgi ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลหรือการเรียกใช้โค้ดบนเซิร์ฟเวอร์เมื่อส่งคำขอที่สร้างขึ้นเป็นพิเศษ ช่องโหว่นี้ถูกโจมตีโดยการส่งส่วนหัว HTTP ที่ยาวมาก เพื่อเป็นการป้องกัน เราได้เพิ่มการบล็อกส่วนหัวที่ยาวกว่า 16K (ขีดจำกัดที่กำหนดไว้ในข้อกำหนดโปรโตคอล) -
CVE-2020-11993 — ช่องโหว่ในโมดูล mod_http2 ที่ทำให้กระบวนการหยุดทำงานเมื่อส่งคำขอด้วยส่วนหัว HTTP/2 ที่ออกแบบมาเป็นพิเศษ ปัญหาปรากฏขึ้นเมื่อเปิดใช้งานการดีบักหรือการติดตามในโมดูล mod_http2 และสะท้อนให้เห็นในความเสียหายของเนื้อหาหน่วยความจำเนื่องจากสภาวะการแข่งขันเมื่อบันทึกข้อมูลลงในบันทึก ปัญหาไม่ปรากฏขึ้นเมื่อ LogLevel ถูกตั้งค่าเป็น “ข้อมูล” -
CVE-2020-9490 — ช่องโหว่ในโมดูล mod_http2 ที่อนุญาตให้กระบวนการหยุดทำงานเมื่อส่งคำขอผ่าน HTTP/2 ด้วยค่าส่วนหัว 'Cache-Digest' ที่ออกแบบมาเป็นพิเศษ (ข้อขัดข้องเกิดขึ้นเมื่อพยายามดำเนินการ HTTP/2 PUSH บนทรัพยากร) . หากต้องการป้องกันช่องโหว่ คุณสามารถใช้การตั้งค่า "H2Push off" -
CVE-2020-11985 — ช่องโหว่ mod_remoteip ซึ่งช่วยให้คุณสามารถปลอมแปลงที่อยู่ IP ระหว่างการพร็อกซีโดยใช้ mod_remoteip และ mod_rewrite ปัญหาจะปรากฏสำหรับรุ่น 2.4.1 ถึง 2.4.23 เท่านั้น
การเปลี่ยนแปลงที่ไม่ใช่ด้านความปลอดภัยที่โดดเด่นที่สุดคือ:
- การสนับสนุนข้อกำหนดฉบับร่างถูกลบออกจาก mod_http2
kazuho-h2-แคช-ย่อย ซึ่งได้รับการระงับการเลื่อนตำแหน่งแล้ว - เปลี่ยนพฤติกรรมของคำสั่ง "LimitRequestFields" ใน mod_http2; การระบุค่าเป็น 0 จะปิดใช้ขีดจำกัดนี้แล้ว
- mod_http2 ให้การประมวลผลการเชื่อมต่อหลักและรอง (หลัก/รอง) และการทำเครื่องหมายวิธีการขึ้นอยู่กับการใช้งาน
- หากได้รับเนื้อหาส่วนหัว Last-Modified ที่ไม่ถูกต้องจากสคริปต์ FCGI/CGI ส่วนหัวนี้จะถูกลบออกแทนที่จะแทนที่ในเวลายุค Unix
- เพิ่มฟังก์ชัน ap_parse_strict_length() ลงในโค้ดเพื่อแยกวิเคราะห์ขนาดเนื้อหาอย่างเคร่งครัด
- ProxyFCGISetEnvIf ของ Mod_proxy_fcgi ช่วยให้มั่นใจได้ว่าตัวแปรสภาพแวดล้อมจะถูกลบออกหากนิพจน์ที่กำหนดส่งคืนค่า False
- แก้ไขสภาพการแข่งขันและความผิดพลาดของ mod_ssl ที่เป็นไปได้เมื่อใช้ใบรับรองไคลเอ็นต์ที่ระบุผ่านการตั้งค่า SSLProxyMachineCertificateFile
- แก้ไขหน่วยความจำรั่วใน mod_ssl
- mod_proxy_http2 จัดเตรียมการใช้พารามิเตอร์พร็อกซี "
ปิง » เมื่อตรวจสอบการทำงานของการเชื่อมต่อใหม่หรือที่ใช้ซ้ำกับแบ็กเอนด์ - หยุดการเชื่อมโยง httpd ด้วยตัวเลือก "-lsystemd" เมื่อเปิดใช้งาน mod_systemd
- mod_proxy_http2 ทำให้แน่ใจว่าการตั้งค่า ProxyTimeout จะถูกนำมาพิจารณาเมื่อรอข้อมูลขาเข้าผ่านการเชื่อมต่อกับแบ็กเอนด์
ที่มา: opennet.ru