پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > اپاچی 2.4.46 HTTP سرور کی ریلیز کمزوریوں کے ساتھ

اپاچی 2.4.46 HTTP سرور کی ریلیز کمزوریوں کے ساتھ

شائع ہوا اپاچی HTTP سرور 2.4.46 کی ریلیز (ریلیز 2.4.44 اور 2.4.45 کو چھوڑ دیا گیا تھا)، جس نے متعارف کرایا 17 تبدیلیاں اور ختم کر دیا 3 کمزوریاں:

  • CVE-2020-11984 — mod_proxy_uwsgi ماڈیول میں ایک بفر اوور فلو، جو خاص طور پر تیار کردہ درخواست بھیجتے وقت سرور پر معلومات کے رساو یا کوڈ پر عمل درآمد کا باعث بن سکتا ہے۔ بہت لمبا HTTP ہیڈر بھیج کر کمزوری کا فائدہ اٹھایا جاتا ہے۔ تحفظ کے لیے، 16K سے زیادہ لمبے ہیڈرز کو مسدود کرنا شامل کیا گیا ہے (ایک حد جو پروٹوکول کی تفصیلات میں بیان کی گئی ہے)۔
  • CVE-2020-11993 — mod_http2 ماڈیول میں ایک کمزوری جو خصوصی طور پر ڈیزائن کردہ HTTP/2 ہیڈر کے ساتھ درخواست بھیجنے پر عمل کو کریش ہونے کی اجازت دیتی ہے۔ یہ مسئلہ اس وقت ظاہر ہوتا ہے جب mod_http2 ماڈیول میں ڈیبگنگ یا ٹریسنگ کو فعال کیا جاتا ہے اور لاگ میں معلومات کو محفوظ کرتے وقت ریس کی حالت کی وجہ سے میموری کے مواد کی خرابی سے ظاہر ہوتا ہے۔ جب لاگ لیول کو "معلومات" پر سیٹ کیا جاتا ہے تو مسئلہ ظاہر نہیں ہوتا ہے۔
  • CVE-2020-9490 — mod_http2 ماڈیول میں ایک کمزوری جو HTTP/2 کے ذریعے خصوصی طور پر ڈیزائن کردہ 'Cache-Digest' ہیڈر ویلیو کے ساتھ درخواست بھیجنے پر عمل کو کریش ہونے کی اجازت دیتی ہے (حادثہ اس وقت ہوتا ہے جب کسی وسائل پر HTTP/2 PUSH آپریشن کرنے کی کوشش کی جاتی ہے) . خطرے کو روکنے کے لیے، آپ "H2Push off" ترتیب استعمال کر سکتے ہیں۔
  • CVE-2020-11985 — mod_remoteip کمزوری، جو آپ کو mod_remoteip اور mod_rewrite کا استعمال کرتے ہوئے پراکسینگ کے دوران آئی پی ایڈریس کو دھوکہ دینے کی اجازت دیتا ہے۔ مسئلہ صرف ریلیز 2.4.1 سے 2.4.23 کے لیے ظاہر ہوتا ہے۔

سب سے زیادہ قابل ذکر غیر سیکورٹی تبدیلیاں ہیں:

  • mod_http2 سے ڈرافٹ تفصیلات کے لیے سپورٹ کو ہٹا دیا گیا ہے۔ kazuho-h2-cache-digestجس کی پروموشن روک دی گئی ہے۔
  • mod_http2 میں "LimitRequestFields" ہدایت کے رویے کو تبدیل کر دیا؛ 0 کی قدر کی وضاحت اب حد کو غیر فعال کر دیتی ہے۔
  • mod_http2 بنیادی اور ثانوی (ماسٹر/سیکنڈری) کنکشن کی پروسیسنگ اور استعمال کے لحاظ سے طریقوں کی مارکنگ فراہم کرتا ہے۔
  • اگر غلط آخری ترمیم شدہ ہیڈر کا مواد FCGI/CGI اسکرپٹ سے موصول ہوتا ہے، تو یہ ہیڈر اب یونکس کے زمانے میں تبدیل کرنے کے بجائے ہٹا دیا جاتا ہے۔
  • مواد کے سائز کو سختی سے پارس کرنے کے لیے ap_parse_strict_length() فنکشن کوڈ میں شامل کیا گیا ہے۔
  • Mod_proxy_fcgi کا ProxyFCGISetEnvIf یقینی بناتا ہے کہ ماحول کے متغیرات کو ہٹا دیا جاتا ہے اگر دیا گیا اظہار غلط لوٹاتا ہے۔
  • SSLProxyMachineCertificateFile ترتیب کے ذریعے مخصوص کردہ کلائنٹ سرٹیفکیٹ کا استعمال کرتے وقت ریس کی حالت اور ممکنہ mod_ssl کریش کو درست کیا گیا۔
  • mod_ssl میں فکسڈ میموری لیک۔
  • mod_proxy_http2 پراکسی پیرامیٹر کا استعمال فراہم کرتا ہے "پنگ» بیک اینڈ سے نئے یا دوبارہ استعمال شدہ کنکشن کی فعالیت کو چیک کرتے وقت۔
  • mod_systemd فعال ہونے پر "-lsystemd" آپشن کے ساتھ بائنڈنگ httpd کو روک دیا گیا۔
  • mod_proxy_http2 اس بات کو یقینی بناتا ہے کہ بیک اینڈ سے کنکشن کے ذریعے آنے والے ڈیٹا کا انتظار کرتے وقت ProxyTimeout کی ترتیب کو مدنظر رکھا جاتا ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں