ProHoster > Blog > balita sa internet > Paglabas ng Apache 2.4.41 http server na may mga naayos na kahinaan

Paglabas ng Apache 2.4.41 http server na may mga naayos na kahinaan

Nai-publish release ng Apache HTTP server 2.4.41 (release 2.4.40 ay nilaktawan), na nagpakilala 23 pagbabago at inalis 6 mga kahinaan:

  • CVE-2019-10081 ay isang isyu sa mod_http2 na maaaring humantong sa pagkasira ng memorya kapag nagpapadala ng mga kahilingan sa push sa isang napakaagang yugto. Kapag ginagamit ang setting na "H2PushResource", posibleng i-overwrite ang memorya sa pool processing ng kahilingan, ngunit ang problema ay limitado sa isang pag-crash dahil ang data na isinusulat ay hindi batay sa impormasyong natanggap mula sa kliyente;
  • CVE-2019-9517 - kamakailang pagkakalantad inihayag Mga kahinaan ng DoS sa mga pagpapatupad ng HTTP/2.
    Maaaring ubusin ng isang attacker ang memorya na magagamit sa isang proseso at lumikha ng mabigat na pag-load ng CPU sa pamamagitan ng pagbubukas ng sliding HTTP/2 window para sa server na magpadala ng data nang walang mga paghihigpit, ngunit pinananatiling nakasara ang TCP window, na pumipigil sa data na aktwal na maisulat sa socket;
  • CVE-2019-10098 - isang problema sa mod_rewrite, na nagpapahintulot sa iyo na gamitin ang server upang ipasa ang mga kahilingan sa iba pang mapagkukunan (bukas na pag-redirect). Ang ilang mod_rewrite na mga setting ay maaaring magresulta sa pagpapasa ng user sa isa pang link, na naka-encode gamit ang isang newline na character sa loob ng isang parameter na ginamit sa isang umiiral na pag-redirect. Upang harangan ang problema sa RegexDefaultOptions, maaari mong gamitin ang watawat ng PCRE_DOTALL, na nakatakda na ngayon bilang default;
  • CVE-2019-10092 - ang kakayahang magsagawa ng cross-site scripting sa mga pahina ng error na ipinapakita ng mod_proxy. Sa mga page na ito, naglalaman ang link ng URL na nakuha mula sa kahilingan, kung saan maaaring magpasok ng arbitrary HTML code ang isang attacker sa pamamagitan ng pag-eskapo ng character;
  • CVE-2019-10097 — stack overflow at NULL pointer dereference sa mod_remoteip, pinagsamantalahan sa pamamagitan ng pagmamanipula ng PROXY protocol header. Ang pag-atake ay maaari lamang isagawa mula sa gilid ng proxy server na ginamit sa mga setting, at hindi sa pamamagitan ng kahilingan ng kliyente;
  • CVE-2019-10082 - isang kahinaan sa mod_http2 na nagbibigay-daan, sa sandali ng pagwawakas ng koneksyon, upang simulan ang pagbabasa ng mga nilalaman mula sa isang nakalaya na lugar ng memorya (read-after-free).

Ang pinaka-kapansin-pansing mga pagbabagong hindi pangseguridad ay:

  • Pinahusay ng mod_proxy_balancer ang proteksyon laban sa mga pag-atake ng XSS/XSRF mula sa mga pinagkakatiwalaang kasamahan;
  • Ang isang setting ng SessionExpiryUpdateInterval ay idinagdag sa mod_session upang matukoy ang agwat para sa pag-update ng oras ng pag-expire ng session/cookie;
  • Ang mga pahina na may mga error ay nalinis, na naglalayong alisin ang pagpapakita ng impormasyon mula sa mga kahilingan sa mga pahinang ito;
  • Isinasaalang-alang ng mod_http2 ang halaga ng parameter na "LimitRequestFieldSize", na dati ay wasto lamang para sa pagsuri sa mga field ng header ng HTTP/1.1;
  • Tinitiyak na ang pagsasaayos ng mod_proxy_hcheck ay nilikha kapag ginamit sa BalancerMember;
  • Nabawasan ang pagkonsumo ng memorya sa mod_dav kapag ginagamit ang utos ng PROPFIND sa isang malaking koleksyon;
  • Sa mod_proxy at mod_ssl, nalutas ang mga problema sa pagtukoy sa mga setting ng certificate at SSL sa loob ng Proxy block;
  • Ang mod_proxy ay nagpapahintulot sa SSLProxyCheckPeer* na mga setting na mailapat sa lahat ng mga proxy module;
  • Pinalawak ang mga kakayahan ng module mod_md, umunlad Let's Encrypt project para i-automate ang pagtanggap at pagpapanatili ng mga certificate gamit ang ACME (Automatic Certificate Management Environment) protocol:
    • Idinagdag ang pangalawang bersyon ng protocol ACMEv2, na ngayon ay ang default at gumagamit walang laman ang mga kahilingan sa POST sa halip na GET.
    • Nagdagdag ng suporta para sa pag-verify batay sa extension ng TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), na ginagamit sa HTTP/2.
    • Ang suporta para sa paraan ng pag-verify na 'tls-sni-01' ay hindi na ipinagpatuloy (dahil sa mga kahinaan).
    • Nagdagdag ng mga utos para sa pag-set up at pagsira sa tseke gamit ang 'dns-01' na paraan.
    • Nagdagdag ng suporta maskara sa mga certificate kapag pinagana ang DNS-based na pag-verify ('dns-01').
    • Ipinatupad ang 'md-status' handler at page ng status ng certificate na 'https://domain/.httpd/certificate-status'.
    • Idinagdag ang "MDCertificateFile" at "MDCertificateKeyFile" na mga direktiba para sa pag-configure ng mga parameter ng domain sa pamamagitan ng mga static na file (nang walang suporta sa auto-update).
    • Idinagdag ang direktiba ng "MDMessageCmd" upang tumawag sa mga panlabas na utos kapag naganap ang mga kaganapang 'na-renew', 'mag-e-expire' o 'na-error'.
    • Idinagdag ang direktiba ng "MDWarnWindow" upang i-configure ang isang mensahe ng babala tungkol sa pag-expire ng certificate;

Pinagmulan: opennet.ru

Magdagdag ng komento