Prohoster > Blog > tin tức mạng > Bản phát hành máy chủ http Apache 2.4.46 với các lỗ hổng đã được sửa
Bản phát hành máy chủ http Apache 2.4.46 với các lỗ hổng đã được sửa
được phát hành релиз HTTP-сервера Apache 2.4.46 (выпуски 2.4.44 и 2.4.45 были пропущены), в котором представлено 17 thay đổi và loại bỏ 3 lỗ hổng:
CVE-2020-11984 — переполнение буфера в модуле mod_proxy_uwsgi, котороя может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков, длиннее 16K (ограничение, определённое в спецификации протокола).
CVE-2020-11993 — уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке запроса со специально оформленным заголовком HTTP/2. Проблема проявляется при включении отладки или трассировки в модуле mod_http2 и выражается в повреждении содержимого памяти из-за состояния гонки при сохранении информации в логе. Проблема не проявляется при выставлении LogLevel в значение «info».
CVE-2020-9490 — уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке через HTTP/2 запроса со специально оформленным значением заголовка ‘Cache-Digest’ (крах возникает при попытке выполнения операции HTTP/2 PUSH для ресурса). Для блокирования уязвимости можно использовать настройку «H2Push off».
CVE-2020-11985 — уязвимость mod_remoteip, позволяющая организовать спуфинг IP-адресов при проксировании, используя mod_remoteip и mod_rewrite. Проблема проявляется только для выпусков с 2.4.1 по 2.4.23.
Những thay đổi không liên quan đến bảo mật đáng chú ý nhất là:
Из mod_http2 удалена поддержка черновой спецификации kazuho-h2-cache-digest, продвижение которой прекращено.
Изменено поведение директивы «LimitRequestFields» в mod_http2, указание значения 0 теперь отключает ограничение.
В mod_http2 обеспечена обработка основных и вторичных (master/secondary) соединений и пометка методов в зависимости от использования.
В случае получения некорректного содержимого заголовка Last-Modified от скрипта FCGI/CGI, данный заголовок теперь удаляется, а не заменяется за эпохальное время (Unix epoch).
В код добавлена функция ap_parse_strict_length() для строгого разбора размера контента.
В mod_proxy_fcgi в ProxyFCGISetEnvIf обеспечено удаление переменных окружения, если заданное выражение возвращает False.
Устранено состояние гонки и возможный крах mod_ssl при использовании сертификата клиента, заданного через настройку SSLProxyMachineCertificateFile.
Устранена утечка памяти в mod_ssl.
В mod_proxy_http2 обеспечено использование параметра прокси «ping» при проверке работоспособности нового или повторно используемого соединения с бэкендом.
Прекращено связывание httpd с опцией «-lsystemd», если активирован mod_systemd.
В mod_proxy_http2 обеспечен учёт настройки ProxyTimeout при ожидании входящих данных через соединения с бэкендом.