Релиз http-сервера Apache 2.4.46 с устранением уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Опубликован релиз HTTP-сервера Apache 2.4.46 (выпуски 2.4.44 и 2.4.45 были пропущены), в котором представлено 17 изменений и устранено 3 уязвимости:
- CVE-2020-11984 - переполнение буфера в модуле mod_proxy_uwsgi, котороя может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков, длиннее 16K (ограничение, определённое в спецификации протокола).
- CVE-2020-11993 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке запроса со специально оформленным заголовком HTTP/2. Проблема проявляется при включении отладки или трассировки в модуле mod_http2 и выражается в повреждении содержимого памяти из-за состояния гонки при сохранении информации в логе. Проблема не проявляется при выставлении LogLevel в значение "info".
- CVE-2020-9490 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке через HTTP/2 запроса со специально оформленным значением заголовка 'Cache-Digest' (крах возникает при попытке выполнения операции HTTP/2 PUSH для ресурса). Для блокирования уязвимости можно использовать настройку "H2Push off".
- CVE-2020-11985 - уязвимость mod_remoteip, позволяющая организовать спуфинг IP-адресов при проксировании, используя mod_remoteip и mod_rewrite. Проблема проявляется только для выпусков с 2.4.1 по 2.4.23.
Наиболее заметные изменения, не связанные с безопасностью:
- Из mod_http2 удалена поддержка черновой спецификации kazuho-h2-cache-digest, продвижение которой прекращено.
- Изменено поведение директивы "LimitRequestFields" в mod_http2, указание значения 0 теперь отключает ограничение.
- В mod_http2 обеспечена обработка основных и вторичных (master/secondary) соединений и пометка методов в зависимости от использования.
- В случае получения некорректного содержимого заголовка Last-Modified от скрипта FCGI/CGI, данный заголовок теперь удаляется, а не заменяется за эпохальное время (Unix epoch).
- В код добавлена функция ap_parse_strict_length() для строгого разбора размера контента.
- В mod_proxy_fcgi в ProxyFCGISetEnvIf обеспечено удаление переменных окружения, если заданное выражение возвращает False.
- Устранено состояние гонки и возможный крах mod_ssl при использовании сертификата клиента, заданного через настройку SSLProxyMachineCertificateFile.
- Устранена утечка памяти в mod_ssl.
- В mod_proxy_http2 обеспечено использование параметра прокси "ping" при проверке работоспособности нового или повторно используемого соединения с бэкендом.
- Прекращено связывание httpd с опцией "-lsystemd", если активирован mod_systemd.
- В mod_proxy_http2 обеспечен учёт настройки ProxyTimeout при ожидании входящих данных через соединения с бэкендом.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.mail-archive.com/a...)
- OpenNews: Предварительный выпуск nginx с поддержкой QUIC и HTTP/3
- OpenNews: RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком Range
- OpenNews: Релиз http-сервера Apache 2.4.43
- OpenNews: Выпуск http-сервера Lighttpd 1.4.55
- OpenNews: Уязвимость в http-сервере Nostromo, приводящая к удалённому выполнению кода
Похожие новости:
- [Open source, Виртуализация, Разработка под Linux, Openshift] Современные приложения на OpenShift, часть 2: связанные сборки chained builds
- [Высокая производительность, Apache, Софт] Apache Software Foundation опубликовала релиз платформы Apache Hadoop 3.3.0
- Фонд Apache опубликовал отчёт за 2020 финансовый год
- [Python, Big Data, Хранение данных, Data Engineering] Apache Airflow: делаем ETL проще
- [Apache, Big Data, Kubernetes] Запускаем Apache Spark на Kubernetes
- [IT-инфраструктура, Open source, Астрономия, Учебный процесс в IT] Openshift 4.5, мастер-курс OpenShift administrators & operations… и роботы, наблюдающие за далекими галактиками
- [Системное администрирование, Хостинг] Apache & Nginx. Связаны одной цепью
- [Java, Kotlin] Производитель/потребитель на Kafka и Kotlin (перевод)
- [Apache, Big Data] Распределенное обучение с Apache MXNet и Horovod (перевод)
- [Отладка, Системное администрирование, Хостинг] HTTP Error 503. Service Unavailable: случай в поддержке хостинга
Теги для поиска: #_apache, #_httpd
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 29-Апр 22:25
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Опубликован релиз HTTP-сервера Apache 2.4.46 (выпуски 2.4.44 и 2.4.45 были пропущены), в котором представлено 17 изменений и устранено 3 уязвимости:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 29-Апр 22:25
Часовой пояс: UTC + 5