ProHoster > Блог > Новини інтернету > Реліз http-сервера Apache 2.4.46 з усуненням уразливостей

Реліз http-сервера Apache 2.4.46 з усуненням уразливостей

Опубліковано реліз HTTP-сервера Apache 2.4.46 (випуски 2.4.44 та 2.4.45 були пропущені), в якому представлено 17 змін та усунено 3 вразливості:

  • CVE-2020-11984 — переповнення буфера в модулі mod_proxy_uwsgi, яке може призвести до витоку інформації або виконання коду на сервері при надсиланні спеціально оформленого запиту. Експлуатація вразливості здійснюється через передачу дуже довгого заголовка HTTP. Для захисту додано блокування заголовків, довше 16K (обмеження, визначене у специфікації протоколу).
  • CVE-2020-11993 — вразливість у модулі mod_http2, що дозволяє викликати крах процесу під час надсилання запиту зі спеціально оформленим заголовком HTTP/2. Проблема проявляється при включенні налагодження або трасування в модулі mod_http2 і виражається у пошкодженні вмісту пам'яті через стан гонки при збереженні інформації в лозі. Проблема не проявляється під час виставлення LogLevel у значення «info».
  • CVE-2020-9490 — вразливість у модулі mod_http2, що дозволяє викликати крах процесу під час відправки через HTTP/2 запиту зі спеціально оформленим значенням заголовка 'Cache-Digest' (крах виникає за спроби виконання операції HTTP/2 PUSH для ресурсу). Для блокування вразливості можна використовувати налаштування H2Push off.
  • CVE-2020-11985 - вразливість mod_remoteip, що дозволяє організувати спуфінг IP-адрес при проксуванні, використовуючи mod_remoteip та mod_rewrite. Проблема проявляється лише для випусків з 2.4.1 до 2.4.23.

Найбільш помітні зміни, не пов'язані з безпекою:

  • З mod_http2 видалено підтримку чорнової специфікації kazuho-h2-cache-digest, Просування якої припинено.
  • Змінено поведінку директиви LimitRequestFields в mod_http2, вказівка ​​значення 0 тепер відключає обмеження.
  • У mod_http2 забезпечена обробка основних та вторинних (master/secondary) з'єднань та позначка методів залежно від використання.
  • У разі отримання некоректного вмісту заголовка Last-Modified від скрипта FCGI/CGI, цей заголовок тепер видаляється, а не замінюється за час (Unix epoch).
  • У код додано функцію ap_parse_strict_length() для суворого аналізу розміру контенту.
  • У mod_proxy_fcgi в ProxyFCGISetEnvIf забезпечено видалення змінних оточення, якщо заданий вираз повертає False.
  • Усунено стан гонки та можливий крах mod_ssl під час використання сертифіката клієнта, заданого через налаштування SSLProxyMachineCertificateFile.
  • Усунено витік пам'яті в mod_ssl.
  • У mod_proxy_http2 забезпечено використання параметра проксі «пінг» під час перевірки працездатності нового або повторно використовуваного з'єднання з бекендом.
  • Припинено зв'язування httpd з опцією "-lsystemd", якщо активовано mod_systemd.
  • У mod_proxy_http2 забезпечено облік налаштування ProxyTimeout при очікуванні вхідних даних через з'єднання з бекендом.

Джерело: opennet.ru

Додати коментар або відгук