ProHoster > Blog > internet yangiliklari > Zaifliklar tuzatilgan Apache 2.4.46 http server relizi

Zaifliklar tuzatilgan Apache 2.4.46 http server relizi

nashr etilgan Apache HTTP serverining 2.4.46 versiyasi (2.4.44 va 2.4.45 versiyalari o'tkazib yuborilgan) taqdim etildi. 17 o'zgarishlar va yo'q qilindi 3 ta zaiflik:

  • CVE-2020-11984 — mod_proxy_uwsgi modulidagi buferning to‘lib ketishi, bu maxsus tayyorlangan so‘rov yuborilganda serverda ma’lumotlarning chiqib ketishi yoki kod bajarilishiga olib kelishi mumkin. Zaiflikdan juda uzun HTTP sarlavhasini yuborish orqali foydalaniladi. Himoya qilish uchun 16K dan uzunroq sarlavhalarni bloklash qo'shildi (protokol spetsifikatsiyasida belgilangan chegara).
  • CVE-2020-11993 — mod_http2 modulidagi zaiflik, bu maxsus mo‘ljallangan HTTP/2 sarlavhasi bilan so‘rov yuborishda jarayonning ishdan chiqishiga imkon beradi. Muammo mod_http2 modulida disk raskadrovka yoki kuzatish yoqilganda namoyon bo'ladi va ma'lumotni jurnalga saqlashda poyga holati tufayli xotira tarkibining buzilishida aks etadi. LogLevel "ma'lumot" ga o'rnatilganda muammo paydo bo'lmaydi.
  • CVE-2020-9490 — mod_http2 modulidagi zaiflik, HTTP/2 orqali maxsus moʻljallangan "Kesh-digest" sarlavhasi qiymati bilan soʻrov yuborishda jarayonning ishdan chiqishiga imkon beradi (halokat resursda HTTP/2 PUSH operatsiyasini bajarishga urinayotganda sodir boʻladi) . Zaiflikni bloklash uchun siz “H2Push off” sozlamasidan foydalanishingiz mumkin.
  • CVE-2020-11985 — mod_remoteip va mod_rewrite yordamida proksi-server orqali IP manzillarini aldash imkonini beruvchi mod_remoteip zaifligi. Muammo faqat 2.4.1 dan 2.4.23 gacha bo'lgan versiyalarda paydo bo'ladi.

Xavfsizlik bilan bog'liq bo'lmagan eng muhim o'zgarishlar:

  • Loyiha spetsifikatsiyasini qo'llab-quvvatlash mod_http2 dan olib tashlandi kazuho-h2-kesh-dijest, targ'iboti to'xtatilgan.
  • mod_http2 da "LimitRequestFields" direktivasi harakati o'zgartirildi; 0 qiymatini belgilash endi chegarani o'chiradi.
  • mod_http2 birlamchi va ikkilamchi (master/ikkilamchi) ulanishlarni qayta ishlashni va foydalanishga qarab usullarni belgilashni ta'minlaydi.
  • Agar FCGI/CGI skriptidan noto'g'ri so'nggi o'zgartirilgan sarlavha mazmuni olingan bo'lsa, bu sarlavha Unix davrida almashtirilgandan ko'ra endi olib tashlanadi.
  • Kontent hajmini qat'iy tahlil qilish uchun kodga ap_parse_strict_length() funksiyasi qo'shildi.
  • Mod_proxy_fcgi ProxyFCGISetEnvIf, agar berilgan ifoda False qiymatini qaytarsa, muhit o'zgaruvchilari o'chirilishini ta'minlaydi.
  • SSLProxyMachineCertificateFile sozlamalari orqali ko'rsatilgan mijoz sertifikatidan foydalanganda poyga holati va mumkin bo'lgan mod_ssl ishdan chiqishi tuzatildi.
  • Mod_ssl-da xotira oqishini tuzatdi.
  • mod_proxy_http2 proksi parametridan foydalanishni ta'minlaydi "Ping» orqa qismga yangi yoki qayta foydalanilgan ulanishning funksionalligini tekshirishda.
  • Mod_systemd yoqilganda httpd-ni "-lsystemd" opsiyasi bilan bog'lash to'xtatildi.
  • mod_proxy_http2 proxyTimeout sozlamasi backendga ulanish orqali kiruvchi ma'lumotlarni kutishda hisobga olinishini ta'minlaydi.

Manba: opennet.ru

a Izoh qo'shish