โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > เซิร์ฟเวอร์ Apache 2.4.41 http ออกพร้อมการแก้ไขช่องโหว่

เซิร์ฟเวอร์ Apache 2.4.41 http ออกพร้อมการแก้ไขช่องโหว่

ที่ตีพิมพ์ เปิดตัวเซิร์ฟเวอร์ Apache HTTP 2.4.41 (ข้ามรุ่น 2.4.40) ซึ่งเปิดตัว 23 การเปลี่ยนแปลง และกำจัดออกไป 6 ช่องโหว่:

  • CVE-2019-10081 เป็นปัญหาใน mod_http2 ที่อาจนำไปสู่ความเสียหายของหน่วยความจำเมื่อส่งคำขอแบบพุชในระยะเริ่มต้น เมื่อใช้การตั้งค่า "H2PushResource" เป็นไปได้ที่จะเขียนทับหน่วยความจำในพูลการประมวลผลคำขอ แต่ปัญหาจะจำกัดอยู่เพียงความล้มเหลวเนื่องจากข้อมูลที่เขียนไม่ได้ขึ้นอยู่กับข้อมูลที่ได้รับจากไคลเอนต์
  • CVE-2019-9517 - การสัมผัสล่าสุด ประกาศ ช่องโหว่ DoS ในการใช้งาน HTTP/2
    ผู้โจมตีสามารถทำให้หน่วยความจำที่มีอยู่ในกระบวนการหมดลง และสร้างภาระงาน CPU จำนวนมากโดยการเปิดหน้าต่าง HTTP/2 แบบเลื่อนเพื่อให้เซิร์ฟเวอร์ส่งข้อมูลโดยไม่มีข้อจำกัด แต่ปิดหน้าต่าง TCP ไว้ เพื่อป้องกันไม่ให้ข้อมูลถูกเขียนลงในซ็อกเก็ตจริงๆ

  • CVE-2019-10098 - ปัญหาใน mod_rewrite ซึ่งอนุญาตให้คุณใช้เซิร์ฟเวอร์เพื่อส่งต่อคำขอไปยังทรัพยากรอื่น (เปลี่ยนเส้นทางแบบเปิด) การตั้งค่า mod_rewrite บางอย่างอาจส่งผลให้ผู้ใช้ถูกส่งต่อไปยังลิงก์อื่น โดยเข้ารหัสโดยใช้อักขระขึ้นบรรทัดใหม่ภายในพารามิเตอร์ที่ใช้ในการเปลี่ยนเส้นทางที่มีอยู่ เมื่อต้องการบล็อกปัญหาใน RegexDefaultOptions คุณสามารถใช้แฟล็ก PCRE_DOTALL ซึ่งขณะนี้ถูกตั้งค่าเป็นค่าเริ่มต้น
  • CVE-2019-10092 - ความสามารถในการเขียนสคริปต์ข้ามไซต์บนหน้าข้อผิดพลาดที่แสดงโดย mod_proxy ในหน้าเหล่านี้ ลิงก์จะมี URL ที่ได้รับจากคำขอ ซึ่งผู้โจมตีสามารถแทรกโค้ด HTML ที่กำหนดเองได้ผ่านการหลีกอักขระ
  • CVE-2019-10097 - สแต็กโอเวอร์โฟลว์และการยกเลิกการอ้างอิงตัวชี้ NULL ใน mod_remoteip ซึ่งใช้ประโยชน์ผ่านการจัดการส่วนหัวของโปรโตคอล PROXY การโจมตีสามารถทำได้จากด้านข้างของพร็อกซีเซิร์ฟเวอร์ที่ใช้ในการตั้งค่าเท่านั้น ไม่ใช่ผ่านคำขอของลูกค้า
  • CVE-2019-10082 - ช่องโหว่ใน mod_http2 ที่อนุญาตให้ในขณะที่ยุติการเชื่อมต่อ สามารถเริ่มการอ่านเนื้อหาจากพื้นที่หน่วยความจำที่ว่างแล้ว (อ่านฟรีหลังจากอ่าน)

การเปลี่ยนแปลงที่ไม่ใช่ด้านความปลอดภัยที่โดดเด่นที่สุดคือ:

  • mod_proxy_balancer ได้ปรับปรุงการป้องกันการโจมตี XSS/XSRF จากเพื่อนที่เชื่อถือได้
  • มีการเพิ่มการตั้งค่า SessionExpiryUpdateInterval ใน mod_session เพื่อกำหนดช่วงเวลาในการอัปเดตเวลาหมดอายุของเซสชัน/คุกกี้
  • หน้าที่มีข้อผิดพลาดได้รับการทำความสะอาดโดยมีวัตถุประสงค์เพื่อกำจัดการแสดงข้อมูลจากคำขอบนหน้าเหล่านี้
  • mod_http2 คำนึงถึงค่าของพารามิเตอร์ “LimitRequestFieldSize” ซึ่งก่อนหน้านี้ใช้ได้สำหรับการตรวจสอบฟิลด์ส่วนหัว HTTP/1.1 เท่านั้น
  • ตรวจสอบให้แน่ใจว่าการกำหนดค่า mod_proxy_hcheck ถูกสร้างขึ้นเมื่อใช้ใน BalancerMember
  • ลดการใช้หน่วยความจำใน mod_dav เมื่อใช้คำสั่ง PROPFIND บนคอลเลกชันขนาดใหญ่
  • ใน mod_proxy และ mod_ssl ปัญหาในการระบุใบรับรองและการตั้งค่า SSL ภายในบล็อกพร็อกซีได้รับการแก้ไขแล้ว
  • mod_proxy อนุญาตให้ใช้การตั้งค่า SSLProxyCheckPeer* กับโมดูลพร็อกซีทั้งหมด
  • ขยายขีดความสามารถของโมดูล mod_md, ที่พัฒนา มาเข้ารหัสโครงการเพื่อทำการรับและบำรุงรักษาใบรับรองโดยอัตโนมัติโดยใช้โปรโตคอล ACME (สภาพแวดล้อมการจัดการใบรับรองอัตโนมัติ):
    • เพิ่มเวอร์ชันที่สองของโปรโตคอล ACMEv2ซึ่งตอนนี้เป็นค่าเริ่มต้นและ ใช้ คำขอ POST ว่างเปล่าแทน GET
    • เพิ่มการรองรับสำหรับการตรวจสอบตามส่วนขยาย TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation) ซึ่งใช้ใน HTTP/2
    • การสนับสนุนวิธีการยืนยัน 'tls-sni-01' ถูกยกเลิกแล้ว (เนื่องจาก ช่องโหว่).
    • เพิ่มคำสั่งสำหรับการตั้งค่าและทำลายการตรวจสอบโดยใช้วิธี 'dns-01'
    • เพิ่มการสนับสนุน หน้ากาก ในใบรับรองเมื่อเปิดใช้งานการตรวจสอบตาม DNS ('dns-01')
    • ใช้ตัวจัดการ 'md-status' และหน้าสถานะใบรับรอง 'https://domain/.httpd/certificate-status'
    • เพิ่มคำสั่ง "MDCertificateFile" และ "MDCertificateKeyFile" สำหรับการกำหนดค่าพารามิเตอร์โดเมนผ่านไฟล์คงที่ (โดยไม่มีการสนับสนุนการอัปเดตอัตโนมัติ)
    • เพิ่มคำสั่ง "MDMessageCmd" เพื่อเรียกคำสั่งภายนอกเมื่อเกิดเหตุการณ์ 'ต่ออายุ', 'หมดอายุ' หรือ 'ผิดพลาด'
    • เพิ่มคำสั่ง "MDWarnWindow" เพื่อกำหนดค่าข้อความเตือนเกี่ยวกับการหมดอายุของใบรับรอง

ที่มา: opennet.ru

เพิ่มความคิดเห็น