โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > เซิร์ฟเวอร์ Apache 2.4.46 http ออกพร้อมการแก้ไขช่องโหว่

เซิร์ฟเวอร์ Apache 2.4.46 http ออกพร้อมการแก้ไขช่องโหว่

ที่ตีพิมพ์ การเปิดตัวเซิร์ฟเวอร์ Apache HTTP 2.4.46 (ข้ามรุ่น 2.4.44 และ 2.4.45) ซึ่งเปิดตัว 17 การเปลี่ยนแปลง และกำจัดออกไป 3 ช่องโหว่:

  • CVE-2020-11984 — บัฟเฟอร์ล้นในโมดูล mod_proxy_uwsgi ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลหรือการเรียกใช้โค้ดบนเซิร์ฟเวอร์เมื่อส่งคำขอที่สร้างขึ้นเป็นพิเศษ ช่องโหว่นี้ถูกโจมตีโดยการส่งส่วนหัว HTTP ที่ยาวมาก เพื่อเป็นการป้องกัน เราได้เพิ่มการบล็อกส่วนหัวที่ยาวกว่า 16K (ขีดจำกัดที่กำหนดไว้ในข้อกำหนดโปรโตคอล)
  • CVE-2020-11993 — ช่องโหว่ในโมดูล mod_http2 ที่ทำให้กระบวนการหยุดทำงานเมื่อส่งคำขอด้วยส่วนหัว HTTP/2 ที่ออกแบบมาเป็นพิเศษ ปัญหาปรากฏขึ้นเมื่อเปิดใช้งานการดีบักหรือการติดตามในโมดูล mod_http2 และสะท้อนให้เห็นในความเสียหายของเนื้อหาหน่วยความจำเนื่องจากสภาวะการแข่งขันเมื่อบันทึกข้อมูลลงในบันทึก ปัญหาไม่ปรากฏขึ้นเมื่อ LogLevel ถูกตั้งค่าเป็น “ข้อมูล”
  • CVE-2020-9490 — ช่องโหว่ในโมดูล mod_http2 ที่อนุญาตให้กระบวนการหยุดทำงานเมื่อส่งคำขอผ่าน HTTP/2 ด้วยค่าส่วนหัว 'Cache-Digest' ที่ออกแบบมาเป็นพิเศษ (ข้อขัดข้องเกิดขึ้นเมื่อพยายามดำเนินการ HTTP/2 PUSH บนทรัพยากร) . หากต้องการป้องกันช่องโหว่ คุณสามารถใช้การตั้งค่า "H2Push off"
  • CVE-2020-11985 — ช่องโหว่ mod_remoteip ซึ่งช่วยให้คุณสามารถปลอมแปลงที่อยู่ IP ระหว่างการพร็อกซีโดยใช้ mod_remoteip และ mod_rewrite ปัญหาจะปรากฏสำหรับรุ่น 2.4.1 ถึง 2.4.23 เท่านั้น

การเปลี่ยนแปลงที่ไม่ใช่ด้านความปลอดภัยที่โดดเด่นที่สุดคือ:

  • การสนับสนุนข้อกำหนดฉบับร่างถูกลบออกจาก mod_http2 kazuho-h2-แคช-ย่อยซึ่งได้รับการระงับการเลื่อนตำแหน่งแล้ว
  • เปลี่ยนพฤติกรรมของคำสั่ง "LimitRequestFields" ใน mod_http2; การระบุค่าเป็น 0 จะปิดใช้ขีดจำกัดนี้แล้ว
  • mod_http2 ให้การประมวลผลการเชื่อมต่อหลักและรอง (หลัก/รอง) และการทำเครื่องหมายวิธีการขึ้นอยู่กับการใช้งาน
  • หากได้รับเนื้อหาส่วนหัว Last-Modified ที่ไม่ถูกต้องจากสคริปต์ FCGI/CGI ส่วนหัวนี้จะถูกลบออกแทนที่จะแทนที่ในเวลายุค Unix
  • เพิ่มฟังก์ชัน ap_parse_strict_length() ลงในโค้ดเพื่อแยกวิเคราะห์ขนาดเนื้อหาอย่างเคร่งครัด
  • ProxyFCGISetEnvIf ของ Mod_proxy_fcgi ช่วยให้มั่นใจได้ว่าตัวแปรสภาพแวดล้อมจะถูกลบออกหากนิพจน์ที่กำหนดส่งคืนค่า False
  • แก้ไขสภาพการแข่งขันและความผิดพลาดของ mod_ssl ที่เป็นไปได้เมื่อใช้ใบรับรองไคลเอ็นต์ที่ระบุผ่านการตั้งค่า SSLProxyMachineCertificateFile
  • แก้ไขหน่วยความจำรั่วใน mod_ssl
  • mod_proxy_http2 จัดเตรียมการใช้พารามิเตอร์พร็อกซี "ปิง» เมื่อตรวจสอบการทำงานของการเชื่อมต่อใหม่หรือที่ใช้ซ้ำกับแบ็กเอนด์
  • หยุดการเชื่อมโยง httpd ด้วยตัวเลือก "-lsystemd" เมื่อเปิดใช้งาน mod_systemd
  • mod_proxy_http2 ทำให้แน่ใจว่าการตั้งค่า ProxyTimeout จะถูกนำมาพิจารณาเมื่อรอข้อมูลขาเข้าผ่านการเชื่อมต่อกับแบ็กเอนด์

ที่มา: opennet.ru

เพิ่มความคิดเห็น