The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз http-сервера Apache 2.4.46 с устранением уязвимостей

08.08.2020 13:02

Опубликован релиз HTTP-сервера Apache 2.4.46 (выпуски 2.4.44 и 2.4.45 были пропущены), в котором представлено 17 изменений и устранено 3 уязвимости:

  • CVE-2020-11984 - переполнение буфера в модуле mod_proxy_uwsgi, котороя может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков длиннее 16K (ограничение, определённое в спецификации протокола).
  • CVE-2020-11993 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке запроса со специально оформленным заголовком HTTP/2. Проблема проявляется при включении отладки или трассировки в модуле mod_http2 и выражается в повреждении содержимого памяти из-за состояния гонки при сохранении информации в логе. Проблема не проявляется при выставлении LogLevel в значение "info".
  • CVE-2020-9490 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке через HTTP/2 запроса со специально оформленным значением заголовка 'Cache-Digest' (крах возникает при попытке выполнения операции HTTP/2 PUSH для ресурса). Для блокирования уязвимости можно использовать настройку "H2Push off".
  • CVE-2020-11985 - уязвимость mod_remoteip, позволяющая организовать спуфинг IP-адресов при проксировании, используя mod_remoteip и mod_rewrite. Проблема проявляется только для выпусков с 2.4.1 по 2.4.23.

Наиболее заметные изменения, не связанные с безопасностью:

  • Из mod_http2 удалена поддержка черновой спецификации kazuho-h2-cache-digest, продвижение которой прекращено.
  • Изменено поведение директивы "LimitRequestFields" в mod_http2, указание значения 0 теперь отключает ограничение.
  • В mod_http2 обеспечена обработка основных и вторичных (master/secondary) соединений и пометка методов в зависимости от использования.
  • В случае получения некорректного содержимого заголовка Last-Modified от скрипта FCGI/CGI данный заголовок теперь удаляется, а не заменяется за эпохальное время (Unix epoch).
  • В код добавлена функция ap_parse_strict_length() для строгого разбора размера контента.
  • В mod_proxy_fcgi в ProxyFCGISetEnvIf обеспечено удаление переменных окружения, если заданное выражение возвращает False.
  • Устранено состояние гонки и возможный крах mod_ssl при использовании сертификата клиента, заданного через настройку SSLProxyMachineCertificateFile.
  • Устранена утечка памяти в mod_ssl.
  • В mod_proxy_http2 обеспечено использование параметра прокси "ping" при проверке работоспособности нового или повторно используемого соединения с бэкендом.
  • Прекращено связывание httpd с опцией "-lsystemd", если активирован mod_systemd.
  • В mod_proxy_http2 обеспечен учёт настройки ProxyTimeout при ожидании входящих данных через соединения с бэкендом.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Предварительный выпуск nginx с поддержкой QUIC и HTTP/3
  3. OpenNews: RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком Range
  4. OpenNews: Релиз http-сервера Apache 2.4.43
  5. OpenNews: Выпуск http-сервера Lighttpd 1.4.55
  6. OpenNews: Уязвимость в http-сервере Nostromo, приводящая к удалённому выполнению кода
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/53517-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 13:54, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Слафся проваславный веб-сервер
     
  • 1.3, Аноним (3), 14:32, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Многие помойные хостинги до сих пор юзают древнюю версию 2.4.6.
     
     
  • 2.6, Онаним (?), 15:06, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    2.4.6 просто ванилькой в дистре идёт.
     

  • 1.4, Онаним (?), 14:59, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вчера собрал и пихнул на хостинги. Ибо нехер, с remoteip некрасиво конечно.
     
     
  • 2.5, Онаним (?), 15:01, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Упреждая "чего некрасиво" - там фиксу 100 лет в обед, его тупо забыли вовремя сбэкпортить.
     
     
  • 3.7, Онаним (?), 15:10, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    К счастью, 2.4.23 был очень давно, а обновляемся вовремя.
     
     
  • 4.8, anonymous (??), 16:05, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Держите нас в курсе.
     
  • 3.9, пох. (?), 17:52, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Упреждая "чего некрасиво" - там фиксу 100 лет в обед, его тупо забыли вовремя сбэкпортить.

    его не забыли, его сознательно отбросили л@п4@тые пингвинятки.
    Те же самые ребята, которые совершенно _ненужными_ фиксами ломают dkms посередине LTS.

    Аргументация уровня БОХ: "апстрим не почесался получить нахрен никому не нужный cve номерок, а просто исправил ошибку, поэтому мы не считаем эту уязвимость уязвимостью, давайте вообще ничего не чинить - а если вам это не нравится - идите вот на...в попачь идите, и убеждайте их cve получить, и лучше не возвращайтесь".

    А что по факту это в проксированных конфигурациях отключает нахрен ip-access lists - да кому оно вообще интересно.

     

  • 1.10, Аноним (10), 18:32, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сами пишите веб-сервера!
     
     
  • 2.11, Аноним (11), 19:47, 08/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И пишем.
     
     
  • 3.17, Аноним (17), 14:06, 09/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Но про отцов забывать не нужно хотя бы только ради уважения
     

  • 1.12, Кайф (?), 23:17, 08/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Тем временем nginx постепенно превращается в systemd от мира веб-серверов
     
     
  • 2.14, Аноним (14), 03:57, 09/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Значит хорошие сапоги, надо брать.
     
  • 2.16, gogo (?), 13:24, 09/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы думаете у Апача иначе было?
    Через 10 лет кто-то напишет веб-сервер, котоый будет "самым быстрым".
     
     
  • 3.18, Кайф (?), 17:14, 09/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При чем здесь быстрый? Сказки про 10к соединений на nginx пусть останутся для лохов, так как это тесты на сраную статику времён 90-х, а вот на другой стороне тот же пых или пистон от таких нагрузок не то что ляжет, но и не поднимится, короче все упирается в банальную скорость веб-приложения а не сервера, так как оно написано на тормознутых ЯП
     
  • 3.23, пох. (?), 10:14, 10/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У апача - иначе было.

    Сплыло в момент, когда сменилась тусовка разработчиков - старые постарели, а молодняк взялся пилить бешенными темпами ненужно-совместимость с windows, когда на деле надо было оптимизировать под быстрые сети (там была куча мусора для совместимости с незнамочем, времен leased lines 2400) и изменившийся характер нагрузок.

    На удивление, весь этот молодой активный молодняк за десять лет свалил в туман, видимо, поняв, что славы тут не заработаешь, апач под винду никому не нужен вообще, там свой iis вполне работает, а тут надо, блин, работать, а не "совместимость с msvc" улучшать.

    И вместо них пришли вполне адекватные ребята, умудрившиеся поломать и испортить значительно меньше, чем починить. Так что версией 2.4 вполне можно снова пользоваться.

    За это же время nginx ничего не починил в своем безумном методе конфигурирования, по прежнему "if is evil", по прежнему "угадай исполняется ли тут вложенный блок", по прежнему даже банальный аналог апачевского status - только за полторы штуки в год.

    А теперь еще и сомнительная юридическая чистота.

    Да ну его найух!

     

  • 1.13, Аноним (13), 01:50, 09/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    больше уязвимостей, хороших и разных!
     
  • 1.15, Тот_Самый_Анонимус (?), 09:18, 09/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хороший сервер. И без мерзкой ГПЛ бывают продукты высокого качества, что бы не говорили фанаты бороды.
     
     
  • 2.19, Кайф (?), 17:15, 09/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Апач по жпл? Да не конечно, к чему базар то?
     
  • 2.20, Аноним (20), 17:47, 09/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А какой, например, HTTP(S)-сервер есть под GPL?
     
     
  • 3.24, Тот_Самый_Анонимус (?), 12:21, 11/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А какой, например, HTTP(S)-сервер есть под GPL?

    Хз. Пока они не смогли переплюнуть апач, а значит (я использую логикугпл-фанатиков) — апач более эффективная лицензия.

     

  • 1.21, ДмитрийСССР (?), 20:10, 09/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Товарищи! А можно вопрос чем Apache плох? В интернетах пишут про их различия, а тут почему-то все называют Apache чуть ли чем-то отвратительным, так вот, хотелось бы у этих ребят узнать, чем он так плох?
     
     
  • 2.22, Аноним (22), 00:04, 10/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    http://gwan.com/benchmark

    httpd это затычка для IoT

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру