Релиз http-сервера Apache 2.4.46 с устранением уязвимостей

08.08.2020 13:02

Опубликован релиз HTTP-сервера Apache 2.4.46 (выпуски 2.4.44 и 2.4.45 были пропущены), в котором представлено 17 изменений и устранено 3 уязвимости:

CVE-2020-11984 - переполнение буфера в модуле mod_proxy_uwsgi, котороя может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков длиннее 16K (ограничение, определённое в спецификации протокола).
CVE-2020-11993 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке запроса со специально оформленным заголовком HTTP/2. Проблема проявляется при включении отладки или трассировки в модуле mod_http2 и выражается в повреждении содержимого памяти из-за состояния гонки при сохранении информации в логе. Проблема не проявляется при выставлении LogLevel в значение "info".
CVE-2020-9490 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке через HTTP/2 запроса со специально оформленным значением заголовка 'Cache-Digest' (крах возникает при попытке выполнения операции HTTP/2 PUSH для ресурса). Для блокирования уязвимости можно использовать настройку "H2Push off".
CVE-2020-11985 - уязвимость mod_remoteip, позволяющая организовать спуфинг IP-адресов при проксировании, используя mod_remoteip и mod_rewrite. Проблема проявляется только для выпусков с 2.4.1 по 2.4.23.

Наиболее заметные изменения, не связанные с безопасностью:

Из mod_http2 удалена поддержка черновой спецификации kazuho-h2-cache-digest, продвижение которой прекращено.
Изменено поведение директивы "LimitRequestFields" в mod_http2, указание значения 0 теперь отключает ограничение.
В mod_http2 обеспечена обработка основных и вторичных (master/secondary) соединений и пометка методов в зависимости от использования.
В случае получения некорректного содержимого заголовка Last-Modified от скрипта FCGI/CGI данный заголовок теперь удаляется, а не заменяется за эпохальное время (Unix epoch).
В код добавлена функция ap_parse_strict_length() для строгого разбора размера контента.
В mod_proxy_fcgi в ProxyFCGISetEnvIf обеспечено удаление переменных окружения, если заданное выражение возвращает False.
Устранено состояние гонки и возможный крах mod_ssl при использовании сертификата клиента, заданного через настройку SSLProxyMachineCertificateFile.
Устранена утечка памяти в mod_ssl.
В mod_proxy_http2 обеспечено использование параметра прокси "ping" при проверке работоспособности нового или повторно используемого соединения с бэкендом.
Прекращено связывание httpd с опцией "-lsystemd", если активирован mod_systemd.
В mod_proxy_http2 обеспечен учёт настройки ProxyTimeout при ожидании входящих данных через соединения с бэкендом.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/53517-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (23)

1.2, Аноним (2), 13:54, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Слафся проваславный веб-сервер

1.3, Аноним (3), 14:32, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Многие помойные хостинги до сих пор юзают древнюю версию 2.4.6.

2.6, Онаним (?), 15:06, 08/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
2.4.6 просто ванилькой в дистре идёт.

1.4, Онаним (?), 14:59, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вчера собрал и пихнул на хостинги. Ибо нехер, с remoteip некрасиво конечно.

2.5, Онаним (?), 15:01, 08/08/2020 [^] [^^] [^^^] [ответить]	+/–
Упреждая "чего некрасиво" - там фиксу 100 лет в обед, его тупо забыли вовремя сбэкпортить.

3.7, Онаним (?), 15:10, 08/08/2020 [^] [^^] [^^^] [ответить]	+/–
К счастью, 2.4.23 был очень давно, а обновляемся вовремя.

4.8, anonymous (??), 16:05, 08/08/2020 [^] [^^] [^^^] [ответить]	+3 +/–
Держите нас в курсе.

3.9, пох. (?), 17:52, 08/08/2020 [^] [^^] [^^^] [ответить]

+/–

> Упреждая "чего некрасиво" - там фиксу 100 лет в обед, его тупо забыли вовремя сбэкпортить.

его не забыли, его сознательно отбросили л@п4@тые пингвинятки.
Те же самые ребята, которые совершенно _ненужными_ фиксами ломают dkms посередине LTS.

Аргументация уровня БОХ: "апстрим не почесался получить нахрен никому не нужный cve номерок, а просто исправил ошибку, поэтому мы не считаем эту уязвимость уязвимостью, давайте вообще ничего не чинить - а если вам это не нравится - идите вот на...в попачь идите, и убеждайте их cve получить, и лучше не возвращайтесь".

А что по факту это в проксированных конфигурациях отключает нахрен ip-access lists - да кому оно вообще интересно.

1.10, Аноним (10), 18:32, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Сами пишите веб-сервера!

2.11, Аноним (11), 19:47, 08/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
И пишем.

3.17, Аноним (17), 14:06, 09/08/2020 [^] [^^] [^^^] [ответить]	+/–
Но про отцов забывать не нужно хотя бы только ради уважения

1.12, Кайф (?), 23:17, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Тем временем nginx постепенно превращается в systemd от мира веб-серверов

2.14, Аноним (14), 03:57, 09/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Значит хорошие сапоги, надо брать.

2.16, gogo (?), 13:24, 09/08/2020 [^] [^^] [^^^] [ответить]	+/–
Вы думаете у Апача иначе было? Через 10 лет кто-то напишет веб-сервер, котоый будет "самым быстрым".

3.18, Кайф (?), 17:14, 09/08/2020 [^] [^^] [^^^] [ответить]	+1 +/–
При чем здесь быстрый? Сказки про 10к соединений на nginx пусть останутся для лохов, так как это тесты на сраную статику времён 90-х, а вот на другой стороне тот же пых или пистон от таких нагрузок не то что ляжет, но и не поднимится, короче все упирается в банальную скорость веб-приложения а не сервера, так как оно написано на тормознутых ЯП

3.23, пох. (?), 10:14, 10/08/2020 [^] [^^] [^^^] [ответить]

+1 +/–

У апача - иначе было.

Сплыло в момент, когда сменилась тусовка разработчиков - старые постарели, а молодняк взялся пилить бешенными темпами ненужно-совместимость с windows, когда на деле надо было оптимизировать под быстрые сети (там была куча мусора для совместимости с незнамочем, времен leased lines 2400) и изменившийся характер нагрузок.

На удивление, весь этот молодой активный молодняк за десять лет свалил в туман, видимо, поняв, что славы тут не заработаешь, апач под винду никому не нужен вообще, там свой iis вполне работает, а тут надо, блин, работать, а не "совместимость с msvc" улучшать.

И вместо них пришли вполне адекватные ребята, умудрившиеся поломать и испортить значительно меньше, чем починить. Так что версией 2.4 вполне можно снова пользоваться.

За это же время nginx ничего не починил в своем безумном методе конфигурирования, по прежнему "if is evil", по прежнему "угадай исполняется ли тут вложенный блок", по прежнему даже банальный аналог апачевского status - только за полторы штуки в год.

А теперь еще и сомнительная юридическая чистота.

Да ну его найух!

1.13, Аноним (13), 01:50, 09/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
больше уязвимостей, хороших и разных!

1.15, Тот_Самый_Анонимус (?), 09:18, 09/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Хороший сервер. И без мерзкой ГПЛ бывают продукты высокого качества, что бы не говорили фанаты бороды.

2.19, Кайф (?), 17:15, 09/08/2020 [^] [^^] [^^^] [ответить]	+/–
Апач по жпл? Да не конечно, к чему базар то?

2.20, Аноним (20), 17:47, 09/08/2020 [^] [^^] [^^^] [ответить]	+/–
А какой, например, HTTP(S)-сервер есть под GPL?

3.24, Тот_Самый_Анонимус (?), 12:21, 11/08/2020 [^] [^^] [^^^] [ответить]	+/–
> А какой, например, HTTP(S)-сервер есть под GPL? Хз. Пока они не смогли переплюнуть апач, а значит (я использую логикугпл-фанатиков) — апач более эффективная лицензия.

1.21, ДмитрийСССР (?), 20:10, 09/08/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Товарищи! А можно вопрос чем Apache плох? В интернетах пишут про их различия, а тут почему-то все называют Apache чуть ли чем-то отвратительным, так вот, хотелось бы у этих ребят узнать, чем он так плох?

2.22, Аноним (22), 00:04, 10/08/2020 [^] [^^] [^^^] [ответить]	+/–
http://gwan.com/benchmark httpd это затычка для IoT

игнорирование участников | лог модерирования

Добавить комментарий

Текст: