Релиз http-сервера Apache 2.4.46 с устранением уязвимостей

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

8 августа 2020 года

Опубликован релиз HTTP-сервера Apache 2.4.46 (выпуски 2.4.44 и 2.4.45 были пропущены), в котором представлено 17 изменений(недоступная ссылка) и устранено 3 уязвимости:

  • CVE-2020-11984 - переполнение буфера в модуле mod_proxy_uwsgi, котороя может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков, длиннее 16K (ограничение, определённое в спецификации протокола).
  • CVE-2020-11993 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке запроса со специально оформленным заголовком HTTP/2. Проблема проявляется при включении отладки или трассировки в модуле mod_http2 и выражается в повреждении содержимого памяти из-за состояния гонки при сохранении информации в логе. Проблема не проявляется при выставлении LogLevel в значение "info".
  • CVE-2020-9490 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке через HTTP/2 запроса со специально оформленным значением заголовка 'Cache-Digest' (крах возникает при попытке выполнения операции HTTP/2 PUSH для ресурса). Для блокирования уязвимости можно использовать настройку "H2Push off".
  • CVE-2020-11985 - уязвимость mod_remoteip, позволяющая организовать спуфинг IP-адресов при проксировании, используя mod_remoteip и mod_rewrite. Проблема проявляется только для выпусков с 2.4.1 по 2.4.23.

Наиболее заметные изменения, не связанные с безопасностью:

  • Из mod_http2 удалена поддержка черновой спецификации kazuho-h2-cache-digest, продвижение которой прекращено.
  • Изменено поведение директивы "LimitRequestFields" в mod_http2, указание значения 0 теперь отключает ограничение.
  • В mod_http2 обеспечена обработка основных и вторичных (master/secondary) соединений и пометка методов в зависимости от использования.
  • В случае получения некорректного содержимого заголовка Last-Modified от скрипта FCGI/CGI, данный заголовок теперь удаляется, а не заменяется за эпохальное время (Unix epoch).
  • В код добавлена функция ap_parse_strict_length() для строгого разбора размера контента.
  • В mod_proxy_fcgi в ProxyFCGISetEnvIf обеспечено удаление переменных окружения, если заданное выражение возвращает False.
  • Устранено состояние гонки и возможный крах mod_ssl при использовании сертификата клиента, заданного через настройку SSLProxyMachineCertificateFile.
  • Устранена утечка памяти в mod_ssl.
  • В mod_proxy_http2 обеспечено использование параметра прокси "ping" при проверке работоспособности нового или повторно используемого соединения с бэкендом.
  • Прекращено связывание httpd с опцией "-lsystemd", если активирован mod_systemd.
  • В mod_proxy_http2 обеспечен учёт настройки ProxyTimeout при ожидании входящих данных через соединения с бэкендом.

Источники[править]

Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Релиз http-сервера Apache 2.4.46 с устранением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Релиз_http-сервера_Apache_2.4.46_с_устранением_уязвимостей&oldid=16574676