The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз http-сервера Apache 2.4.41 с устранением уязвимостей

16.08.2019 12:01

Опубликован релиз HTTP-сервера Apache 2.4.41 (выпуск 2.4.40 был пропущен), в котором представлено 23 изменения и устранено 6 уязвимостей:

  • CVE-2019-10081 - проблема в mod_http2, которая может привести к повреждению памяти при отправке push-запросов на очень ранней стадии. При использовании настройки "H2PushResource" возможна перезапись области памяти в пуле обработки запросов, но проблема ограничена крахом, так как записываемые данные не основываются на информации, полученной от клиента;
  • CVE-2019-9517 - подверженность недавно анонсированной DoS-уязвимости в реализациях HTTP/2. Атакующий может исчерпать доступную процессу память и создать большую нагрузку на CPU, открывая скользящее окно HTTP/2 для отправки сервером данных без ограничений, но при этом держа окно TCP закрытым, что не позволяет фактически записать данные в сокет;
  • CVE-2019-10098 - проблема в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые настройки mod_rewrite могут привести к пробросу пользвателя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе. Для блокирования проблемы в RegexDefaultOptions можно использовать флаг PCRE_DOTALL, который теперь выставлен по умолчанию;
  • CVE-2019-10092 - возможность совершения межсайтового скриптинга на страницах ошибок, выводимых mod_proxy. На данных страницах в ссылке подставляется полученный из запроса URL, в котором атакующий через экранирование символов может подставить произвольный HTML-код;
  • CVE-2019-10097 - переполнение стека и разыменование указателя NULL в mod_remoteip, эксплуатируемое через манипуляции с заголовком протокола PROXY. Атака может быть совершена только со стороны используемого в настройках прокси-сервера, а не через запрос клиента;
  • CVE-2019-10082 - уязвимость в mod_http2, позволяющая в момент завершения соединения инициировать чтение содержимого из уже освобождённой области памяти (read-after-free).

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_proxy_balancer усилена защита от атак XSS/XSRF со стороны узлов, заслуживающих доверия;
  • В mod_session добавлена настройка SessionExpiryUpdateInterval для определения интервала обновления времени истечения жизни сеанса/cookie;
  • Проведена чистка страниц с ошибками, направленная на исключения вывода на данных страницах информации из запросов;
  • В mod_http2 обеспечен учёт значения параметра "LimitRequestFieldSize", который раньше действовал только для проверки полей заголовков HTTP/1.1;
  • Обеспечено создание конфигурации mod_proxy_hcheck при его использовании в BalancerMember;
  • Сокращено потребление памяти в mod_dav при использовании команды PROPFIND над большой коллекцией;
  • В mod_proxy и mod_ssl решены проблемы с указанием настроек сертификатов и SSL в внутри блока Proxy;
  • В mod_proxy разрешено применение настроек SSLProxyCheckPeer* для всех модулей прокси;
  • Расширены возможности модуля mod_md, разработанного проектом Let's Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment):
    • Добавлена вторая версия протокола ACMEv2, которая теперь применяется по умолчанию и использует пустые запросы POST вместо GET.
    • Добавлена поддержка проверки на базе расширения TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), которое используется в HTTP/2.
    • Прекращена поддержка метода проверки 'tls-sni-01' (из-за уязвимости).
    • Добавлены команды для настройки и разрыва проверки методом 'dns-01'.
    • Добавлена поддержка масок в сертификатах при включении проверки на основе DNS ('dns-01').
    • Реализован обработчик 'md-status' и страница с состоянием сертификата "https://domain/.httpd/certificate-status".
    • Добавлены директивы "MDCertificateFile" и "MDCertificateKeyFile" для настройки параметров доменов через статические файлы (без поддержки автообновления).
    • Добавлена директива "MDMessageCmd" для вызова внешних команд при наступлении событий 'renewed', 'expiring' или 'errored'.
    • Добавлена директива "MDWarnWindow" для настройки сообщения с предупреждением об истечении времени действия сертификата;


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязвимостей
  3. OpenNews: HTTP-заголовок Alt-Svc может применяться для сканирования портов внутренней сети
  4. OpenNews: Релиз http-сервера Apache 2.4.39 с устранением опасных уязвимостей
  5. OpenNews: Выпуск HTTP/TCP-балансировщика HAProxy 2.0
  6. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
Лицензия: CC-BY
Тип: Программы
Ключевые слова: apache, httpd, http
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, пох. (?), 12:05, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    шо, опять что-то не так с прекрасным http2? Ну кто бы мог подумать! (если бы было, чем)
     
     
  • 2.28, пох. (?), 09:54, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    P.S. господа сочувствующие - не трогайте мои минусы, я рад что среди читателей опеннета не все еще потеряно, но если вы выводите статистику в ноль - я лишаюсь удовольствия наблюдать массовый подрыв пуканов.

     

  • 1.2, Аноним (2), 12:13, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О Apache не только DoS проблемы еще RCE
     
  • 1.3, Аноним (3), 12:20, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    где он используется? вроде везде уже nginx
     
     
  • 2.4, Ilya Indigo (ok), 12:30, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На большинстве серверов, включая совместно с ngnx, который не умеет в динамику.
     
     
  • 3.5, Аноним (5), 12:33, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Apache тоже не умеет в динамику без модулей и бекендов. Или ты CGI считаешь динамикой?
     
     
  • 4.6, Ilya Indigo (ok), 12:37, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Apache тоже не умеет в динамику без модулей и бекендов. Или ты
    > CGI считаешь динамикой?

    Apache умеет в модули, особенно в FCGI модуль, его я и называю динамикой!

     
     
  • 5.7, Аноним (7), 13:32, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    nginx unit?
     
     
  • 6.8, Ilya Indigo (ok), 13:37, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > nginx unit?

    1 nginx != nginx unit
    2 nginx unit - не может в статику
    3 nginx unit, как я выяснил в одной из новостных веток ngnx, не похож на FactCGI, в том виде в котором он есть сейчас и предназначен как сервер приложений, а не динамическое дополнение, как FastCGI.

     
     
  • 7.9, Аноним (7), 14:04, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы его когда-нибудь вообще использовали?
     
     
  • 8.11, Ilya Indigo (ok), 14:29, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Его даже в openSUSE Tumbleweed не завезли чтобы в него потыкать палочкой ... текст свёрнут, показать
     
  • 7.10, Аноним (2), 14:11, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    OpenLiteSpeed умеет в динамику и статику, умеет htaccess шах и мат!
     
     
  • 8.12, Ilya Indigo (ok), 14:32, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы про него ещё кто-то бы слышал кроме Вас ... текст свёрнут, показать
     
     
  • 9.13, anonymoussssss (?), 15:00, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Причём тут слышал или нет, главное чтобы работу свою выполнял Тоже про него не... текст свёрнут, показать
     
     
  • 10.15, пох. (?), 15:09, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в этом и проблема - он может ее и выполняет, но, чую, при некоторых если И во... текст свёрнут, показать
     
     
  • 11.19, anonymoussssss (?), 17:24, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Согласимся, но всегда кто-то должен быть первым Apache и ngnix тоже когда-то на... текст свёрнут, показать
     
     
  • 12.22, пох. (?), 19:31, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у нас тогда выбора не было И к тому же было, к кому обратиться С апачем мне по... текст свёрнут, показать
     
  • 10.16, Ilya Indigo (ok), 15:14, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А пруфы где что выполняет и какую именно работу Отобразить Hello word Начасать... текст свёрнут, показать
     
  • 8.14, пох. (?), 15:08, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    расскажите историю успеха, что-ли ... текст свёрнут, показать
     
  • 8.30, Аноним (30), 11:35, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    прикольно Виртуальный хостинг на OpenLiteSpeed... текст свёрнут, показать
     
  • 5.23, KonstantinB (ok), 21:49, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А с каких пор nginx разучился в fcgi? ngx_http_fastcgi_module существует с версии 0.19 или типа того.
     
     
  • 6.24, Ilya Indigo (ok), 08:44, 17/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Можете по подробнее?
    В нём, как и в Apache, можно подключить wraper php, и получить аналог связки Apache + PHP via FastCGI?
    Я никогда не видел такой конфигурации и не слышал про неё. Обычно nginx или прокси апача или nginx + php-frm.
     
     
  • 7.27, пох. (?), 09:51, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Илюша, у тебя в голове опять какая-то каша. Для справок: fpm расшифровывается как "fastcgi process manager", и никакого другого fcgi-интерфейса к php сто лет уже нет.

    Похоже, ты просто не в курсе, что такое fastcgi, что такое - cgi, и что Слава КПСС вообще не человек.  Почитай уже, пожалуйста, хоть викивракию по теме, а потом уже задавай вопросы.

    Возможно, они у тебя в процессе отпадут сами.

     
     
  • 8.31, Ilya Indigo (ok), 11:36, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    zypper se php7-f php7-fastcgi 124 Модуль PHP7 FastCGI php7-fpm 124 ... текст свёрнут, показать
     
     
  • 9.33, пох. (?), 16:19, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в курсе Это не fastcgi - вообще Это безнадежно устаревшая гнилая технология, т... текст свёрнут, показать
     
  • 5.29, Аноним (30), 11:30, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    nginx имеет динамику, особенно fastcgi (ведь ты его называешь динамикой)
     
     
  • 6.32, Ilya Indigo (ok), 11:41, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > nginx имеет динамику, особенно fastcgi (ведь ты его называешь динамикой)

    Можете привести пример конфигурации, или ссылку на такой пример, где nginx работает с PHP именно как FastCGI через врапер, а не через php-fpm, который берёт на себя всю "динамику", о которой ngnx даже не знает?

     
  • 3.17, Michael Shigorin (ok), 15:49, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > ngnx, который не умеет в динамику.

    Ой, а это кто?  Если очепятка и речь про nginx -- главное, нашим экземплярам не говорите, а то они пока ещё всё умеют: http://altlinux.org/nginx/fcgiwrap

    PS AOT: сабж позавчера ещё приехал...

     
     
  • 4.18, пох. (?), 16:12, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну ты правда думаешь что открыл кому-то америку? fcgiwrap - уродливая и совершенно неэффективная поделка, сводящая весь тот nginx обратно к апачу с suexec, привет 1997й. Да и надежность ее вызывает определенные сомнения в том, что к этому неловимому джо всерьез подбирались.

    Разработчики (кто бы они сегодня ни были) ниасилили ничего подобного в самом nginx, и не просто так.

    так что я бы с интересом поизучал litespeed, если бы подвернулась подходящая кошка.

    Интересно, у них документация на их чудо-апи где-то в человеческом виде есть, или как всегда?

     
     
  • 5.20, Michael Shigorin (ok), 17:26, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > ну ты правда думаешь что открыл кому-то америку?

    Ну мало ли.

     
     
  • 6.34, пох. (?), 16:21, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну в принципе, да - вон некоторые вообще эксгумировали труп пятитысячелетней тухлости, как я погляжу - и зачем-то держатся за него руками и ногами.

    Это ж надо - mod_fcgi...

     
  • 4.25, Ilya Indigo (ok), 08:46, 17/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Михаил!
    Но вот от Вас такого детского стиля я ник не ожидал. :-(
    Расскажите тогда подробнее о fcgiwrap
    В нём, как и в Apache, можно подключить wraper php, и получить аналог связки Apache + PHP via FastCGI?
     
  • 3.26, Hewlett Packard (?), 10:21, 17/08/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ngnx, который не умеет в динамику

    Cloudflare это расскажите, и еще очень много кому, например Kong (https://konghq.com/solutions/gateway/)

    То что динамика на PHP - это лучше к Апачу, это не про динамику, это про динамику начала двухтысячных.

     

  • 1.21, Аноним (21), 19:16, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >проблема в mod_http2, которая может привести к повреждению памяти при отправке push-запросов на очень ранней стадии

    Ну это просто пушка!

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру