Prohoster > Blog > tin tức mạng > Bản phát hành máy chủ http Apache 2.4.46 với các lỗ hổng đã được sửa

Bản phát hành máy chủ http Apache 2.4.46 với các lỗ hổng đã được sửa

được phát hành bản phát hành máy chủ HTTP Apache 2.4.46 (bản phát hành 2.4.44 và 2.4.45 đã bị bỏ qua), giới thiệu 17 thay đổi và loại bỏ 3 lỗ hổng:

  • CVE-2020-11984 — tràn bộ đệm trong mô-đun mod_proxy_uwsgi, có thể dẫn đến rò rỉ thông tin hoặc thực thi mã trên máy chủ khi gửi yêu cầu được tạo đặc biệt. Lỗ hổng bị khai thác bằng cách gửi tiêu đề HTTP rất dài. Để bảo vệ, việc chặn các tiêu đề dài hơn 16K đã được thêm vào (giới hạn được xác định trong đặc tả giao thức).
  • CVE-2020-11993 — một lỗ hổng trong mô-đun mod_http2 cho phép quá trình gặp sự cố khi gửi yêu cầu có tiêu đề HTTP/2 được thiết kế đặc biệt. Sự cố tự biểu hiện khi tính năng gỡ lỗi hoặc theo dõi được bật trong mô-đun mod_http2 và được phản ánh trong tình trạng hỏng nội dung bộ nhớ do tình trạng tương tranh khi lưu thông tin vào nhật ký. Sự cố không xuất hiện khi LogLevel được đặt thành “thông tin”.
  • CVE-2020-9490 — một lỗ hổng trong mô-đun mod_http2 cho phép một quá trình gặp sự cố khi gửi yêu cầu qua HTTP/2 với giá trị tiêu đề 'Cache-Digest' được thiết kế đặc biệt (sự cố xảy ra khi cố gắng thực hiện thao tác PUSH HTTP/2 trên một tài nguyên) . Để chặn lỗ hổng, bạn có thể sử dụng cài đặt “H2Push off”.
  • CVE-2020-11985 — lỗ hổng mod_remoteip, cho phép bạn giả mạo địa chỉ IP trong quá trình ủy quyền bằng mod_remoteip và mod_rewrite. Sự cố chỉ xuất hiện đối với các bản phát hành 2.4.1 đến 2.4.23.

Những thay đổi không liên quan đến bảo mật đáng chú ý nhất là:

  • Hỗ trợ cho đặc tả dự thảo đã bị xóa khỏi mod_http2 kazuho-h2-cache-tiêu hóa, chương trình khuyến mãi của họ đã bị ngừng.
  • Đã thay đổi hành vi của lệnh "LimitRequestFields" trong mod_http2; việc chỉ định giá trị 0 hiện sẽ vô hiệu hóa giới hạn.
  • mod_http2 cung cấp khả năng xử lý các kết nối chính và phụ (chính/phụ) cũng như đánh dấu các phương thức tùy theo mục đích sử dụng.
  • Nếu nhận được nội dung tiêu đề Sửa đổi lần cuối không chính xác từ tập lệnh FCGI/CGI, thì tiêu đề này hiện sẽ bị xóa thay vì được thay thế trong thời gian Unix.
  • Hàm ap_parse_strict_length() đã được thêm vào mã để phân tích chính xác kích thước nội dung.
  • ProxyFCGISetEnvIf của Mod_proxy_fcgi đảm bảo rằng các biến môi trường sẽ bị xóa nếu biểu thức đã cho trả về Sai.
  • Đã khắc phục tình trạng tương tranh và sự cố mod_ssl có thể xảy ra khi sử dụng chứng chỉ ứng dụng khách được chỉ định qua cài đặt SSLProxyMachineCertificateFile.
  • Đã sửa lỗi rò rỉ bộ nhớ trong mod_ssl.
  • mod_proxy_http2 cung cấp việc sử dụng tham số proxy "ping» khi kiểm tra chức năng của kết nối mới hoặc kết nối được sử dụng lại với phần phụ trợ.
  • Đã dừng liên kết httpd với tùy chọn "-lsystemd" khi mod_systemd được bật.
  • mod_proxy_http2 đảm bảo rằng cài đặt ProxyTimeout được tính đến khi chờ dữ liệu đến thông qua các kết nối tới chương trình phụ trợ.

Nguồn: opennet.ru

Thêm một lời nhận xét