ProHoster > Blog > internet yangiliklari > Zaifliklar tuzatilgan Apache 2.4.41 http server relizi

Zaifliklar tuzatilgan Apache 2.4.41 http server relizi

nashr etilgan Apache HTTP serverining 2.4.41 versiyasi (reliz 2.4.40 o'tkazib yuborilgan) taqdim etildi. 23 o'zgarishlar va yo'q qilindi 6 ta zaifliklar:

  • CVE-2019-10081 mod_http2-dagi muammo bo'lib, bu juda erta bosqichda push so'rovlarini yuborishda xotira buzilishiga olib kelishi mumkin. "H2PushResource" sozlamasidan foydalanilganda, so'rovni qayta ishlash pulida xotirani qayta yozish mumkin, ammo muammo faqat buzilish bilan cheklangan, chunki yozilayotgan ma'lumotlar mijozdan olingan ma'lumotlarga asoslanmagan;
  • CVE-2019-9517 - yaqinda ta'sir qilish e'lon qildi HTTP/2 ilovalaridagi DoS zaifliklari.
    Tajovuzkor jarayon uchun mavjud bo'lgan xotirani tugatishi va serverga ma'lumotlarni cheklovlarsiz yuborishi uchun suriluvchi HTTP/2 oynasini ochib, lekin TCP oynasini yopiq holda ushlab, ma'lumotlarning rozetkaga yozilishini oldini olish orqali protsessorning og'ir yukini yaratishi mumkin;

  • CVE-2019-10098 - so'rovlarni boshqa resurslarga yuborish uchun serverdan foydalanishga imkon beruvchi mod_rewrite-dagi muammo (ochiq qayta yo'naltirish). Ba'zi mod_rewrite sozlamalari foydalanuvchining boshqa havolaga yo'naltirilishiga olib kelishi mumkin, u mavjud qayta yo'naltirishda ishlatiladigan parametr ichidagi yangi qator belgisi yordamida kodlangan. RegexDefaultOptions-da muammoni bloklash uchun siz endi sukut bo'yicha o'rnatilgan PCRE_DOTALL bayrog'idan foydalanishingiz mumkin;
  • CVE-2019-10092 - mod_proxy tomonidan ko'rsatilgan xato sahifalarida saytlararo skriptlarni bajarish qobiliyati. Ushbu sahifalarda havola so'rovdan olingan URL manzilini o'z ichiga oladi, unda tajovuzkor belgilardan qochish orqali o'zboshimchalik bilan HTML kodini kiritishi mumkin;
  • CVE-2019-10097 — mod_remoteip-da stekning to'lib ketishi va NULL ko'rsatkichni o'chirish, PROXY protokoli sarlavhasini manipulyatsiya qilish orqali foydalaniladi. Hujum faqat sozlamalarda ishlatiladigan proksi-server tomonidan amalga oshirilishi mumkin, mijoz so'rovi orqali emas;
  • CVE-2019-10082 - mod_http2-dagi zaiflik, u ulanishni tugatish paytida allaqachon bo'shatilgan xotira maydonidan tarkibni o'qishni boshlash imkonini beradi (o'qish-o'qish).

Xavfsizlik bilan bog'liq bo'lmagan eng muhim o'zgarishlar:

  • mod_proxy_balancer ishonchli tengdoshlarning XSS/XSRF hujumlaridan himoyani yaxshilagan;
  • Seans/cookie-faylning amal qilish muddatini yangilash oralig'ini aniqlash uchun mod_session-ga SessionExpiryUpdateInterval sozlamasi qo'shildi;
  • Xatolari bo'lgan sahifalar tozalandi, bu sahifalardagi so'rovlardan ma'lumotlarni ko'rsatishni yo'q qilishga qaratilgan;
  • mod_http2 "LimitRequestFieldSize" parametrining qiymatini hisobga oladi, bu avval faqat HTTP/1.1 sarlavha maydonlarini tekshirish uchun amal qiladi;
  • BalancerMember da foydalanilganda mod_proxy_hcheck konfiguratsiyasi yaratilganligini ta'minlaydi;
  • Katta to'plamda PROPFIND buyrug'idan foydalanganda mod_dav-da xotira sarfini kamaytirish;
  • mod_proxy va mod_ssl-da Proksi-blok ichida sertifikat va SSL sozlamalarini belgilash bilan bog'liq muammolar hal qilindi;
  • mod_proxy SSLProxyCheckPeer* sozlamalarini barcha proksi-modullarga qo'llash imkonini beradi;
  • Modul imkoniyatlari kengaytirildi mod_md, rivojlangan ACME (Automatic Certificate Management Environment) protokoli yordamida sertifikatlarni qabul qilish va ularga xizmat ko‘rsatishni avtomatlashtirish uchun loyihani shifrlaymiz:
    • Protokolning ikkinchi versiyasi qo'shildi ACMEv2, bu endi standart va ispolzet GET o'rniga bo'sh POST so'rovlari.
    • HTTP/01 da qoʻllaniladigan TLS-ALPN-7301 kengaytmasi (RFC 2, Application-Layer Protocol Negotiation) asosida tekshirish uchun qoʻshimcha yordam qoʻshildi.
    • "tls-sni-01" tekshirish usulini qoʻllab-quvvatlash toʻxtatildi (tufayli: zaifliklar).
    • "Dns-01" usuli yordamida chekni o'rnatish va buzish uchun qo'shilgan buyruqlar.
    • Qo'shilgan qo'llab-quvvatlash niqoblar DNS-ga asoslangan tekshirish yoqilganda ('dns-01') sertifikatlarda.
    • Amalga oshirilgan "md-status" ishlov beruvchisi va sertifikat holati sahifasi "https://domain/.httpd/certificate-status".
    • Domen parametrlarini statik fayllar orqali sozlash uchun "MDCertificateFile" va "MDCertificateKeyFile" direktivalari qo'shildi (avtomatik yangilanishni qo'llab-quvvatlamasdan).
    • "Yangilangan", "muddati tugagan" yoki "xato" hodisalari yuz berganda tashqi buyruqlarni chaqirish uchun "MDMessageCmd" direktivasi qo'shildi.
    • Sertifikatning amal qilish muddati tugashi haqida ogohlantirish xabarini sozlash uchun "MDWarnWindow" direktivasi qo'shildi;

Manba: opennet.ru

a Izoh qo'shish