Релиз http-сервера Apache 2.4.41 с устранением уязвимостей

16.08.2019 12:01

Опубликован релиз HTTP-сервера Apache 2.4.41 (выпуск 2.4.40 был пропущен), в котором представлено 23 изменения и устранено 6 уязвимостей:

CVE-2019-10081 - проблема в mod_http2, которая может привести к повреждению памяти при отправке push-запросов на очень ранней стадии. При использовании настройки "H2PushResource" возможна перезапись области памяти в пуле обработки запросов, но проблема ограничена крахом, так как записываемые данные не основываются на информации, полученной от клиента;
CVE-2019-9517 - подверженность недавно анонсированной DoS-уязвимости в реализациях HTTP/2. Атакующий может исчерпать доступную процессу память и создать большую нагрузку на CPU, открывая скользящее окно HTTP/2 для отправки сервером данных без ограничений, но при этом держа окно TCP закрытым, что не позволяет фактически записать данные в сокет;
CVE-2019-10098 - проблема в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые настройки mod_rewrite могут привести к пробросу пользвателя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе. Для блокирования проблемы в RegexDefaultOptions можно использовать флаг PCRE_DOTALL, который теперь выставлен по умолчанию;
CVE-2019-10092 - возможность совершения межсайтового скриптинга на страницах ошибок, выводимых mod_proxy. На данных страницах в ссылке подставляется полученный из запроса URL, в котором атакующий через экранирование символов может подставить произвольный HTML-код;
CVE-2019-10097 - переполнение стека и разыменование указателя NULL в mod_remoteip, эксплуатируемое через манипуляции с заголовком протокола PROXY. Атака может быть совершена только со стороны используемого в настройках прокси-сервера, а не через запрос клиента;
CVE-2019-10082 - уязвимость в mod_http2, позволяющая в момент завершения соединения инициировать чтение содержимого из уже освобождённой области памяти (read-after-free).

Наиболее заметные изменения, не связанные с безопасностью:

В mod_proxy_balancer усилена защита от атак XSS/XSRF со стороны узлов, заслуживающих доверия;
В mod_session добавлена настройка SessionExpiryUpdateInterval для определения интервала обновления времени истечения жизни сеанса/cookie;
Проведена чистка страниц с ошибками, направленная на исключения вывода на данных страницах информации из запросов;
В mod_http2 обеспечен учёт значения параметра "LimitRequestFieldSize", который раньше действовал только для проверки полей заголовков HTTP/1.1;
Обеспечено создание конфигурации mod_proxy_hcheck при его использовании в BalancerMember;
Сокращено потребление памяти в mod_dav при использовании команды PROPFIND над большой коллекцией;
В mod_proxy и mod_ssl решены проблемы с указанием настроек сертификатов и SSL в внутри блока Proxy;
В mod_proxy разрешено применение настроек SSLProxyCheckPeer* для всех модулей прокси;
Расширены возможности модуля mod_md, разработанного проектом Let's Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment):
- Добавлена вторая версия протокола ACMEv2, которая теперь применяется по умолчанию и использует пустые запросы POST вместо GET.
- Добавлена поддержка проверки на базе расширения TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), которое используется в HTTP/2.
- Прекращена поддержка метода проверки 'tls-sni-01' (из-за уязвимости).
- Добавлены команды для настройки и разрыва проверки методом 'dns-01'.
- Добавлена поддержка масок в сертификатах при включении проверки на основе DNS ('dns-01').
- Реализован обработчик 'md-status' и страница с состоянием сертификата "https://domain/.httpd/certificate-status".
- Добавлены директивы "MDCertificateFile" и "MDCertificateKeyFile" для настройки параметров доменов через статические файлы (без поддержки автообновления).
- Добавлена директива "MDMessageCmd" для вызова внешних команд при наступлении событий 'renewed', 'expiring' или 'errored'.
- Добавлена директива "MDWarnWindow" для настройки сообщения с предупреждением об истечении времени действия сертификата;

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/51298-apache

Ключевые слова: apache, httpd, http

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (34)

1.1, пох. (?), 12:05, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
шо, опять что-то не так с прекрасным http2? Ну кто бы мог подумать! (если бы было, чем)

2.28, пох. (?), 09:54, 18/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
P.S. господа сочувствующие - не трогайте мои минусы, я рад что среди читателей опеннета не все еще потеряно, но если вы выводите статистику в ноль - я лишаюсь удовольствия наблюдать массовый подрыв пуканов.

1.2, Аноним (2), 12:13, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
О Apache не только DoS проблемы еще RCE

1.3, Аноним (3), 12:20, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–7 +/–
где он используется? вроде везде уже nginx

2.4, Ilya Indigo (ok), 12:30, 16/08/2019 [^] [^^] [^^^] [ответить]	–2 +/–
На большинстве серверов, включая совместно с ngnx, который не умеет в динамику.

3.5, Аноним (5), 12:33, 16/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Apache тоже не умеет в динамику без модулей и бекендов. Или ты CGI считаешь динамикой?

4.6, Ilya Indigo (ok), 12:37, 16/08/2019 [^] [^^] [^^^] [ответить]	+/–
> Apache тоже не умеет в динамику без модулей и бекендов. Или ты > CGI считаешь динамикой? Apache умеет в модули, особенно в FCGI модуль, его я и называю динамикой!

5.7, Аноним (7), 13:32, 16/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
nginx unit?

6.8, Ilya Indigo (ok), 13:37, 16/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
> nginx unit? 1 nginx != nginx unit 2 nginx unit - не может в статику 3 nginx unit, как я выяснил в одной из новостных веток ngnx, не похож на FactCGI, в том виде в котором он есть сейчас и предназначен как сервер приложений, а не динамическое дополнение, как FastCGI.

7.9, Аноним (7), 14:04, 16/08/2019 [^] [^^] [^^^] [ответить]	+/–
Вы его когда-нибудь вообще использовали?

8.11, Ilya Indigo (ok), 14:29, 16/08/2019 [^] [^^] [^^^] [ответить]	+/–
Нет Его даже в openSUSE Tumbleweed не завезли чтобы в него потыкать палочкой ... текст свёрнут, показать

7.10, Аноним (2), 14:11, 16/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
OpenLiteSpeed умеет в динамику и статику, умеет htaccess шах и мат!

8.12, Ilya Indigo (ok), 14:32, 16/08/2019 [^] [^^] [^^^] [ответить]	+/–
Если бы про него ещё кто-то бы слышал кроме Вас ... текст свёрнут, показать

9.13, anonymoussssss (?), 15:00, 16/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Причём тут слышал или нет, главное чтобы работу свою выполнял Тоже про него не... текст свёрнут, показать

10.15, пох. (?), 15:09, 16/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
в этом и проблема - он может ее и выполняет, но, чую, при некоторых если И во... текст свёрнут, показать

11.19, anonymoussssss (?), 17:24, 16/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Согласимся, но всегда кто-то должен быть первым Apache и ngnix тоже когда-то на... текст свёрнут, показать

12.22, пох. (?), 19:31, 16/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
у нас тогда выбора не было И к тому же было, к кому обратиться С апачем мне по... текст свёрнут, показать

10.16, Ilya Indigo (ok), 15:14, 16/08/2019 [^] [^^] [^^^] [ответить]	+/–
А пруфы где что выполняет и какую именно работу Отобразить Hello word Начасать... текст свёрнут, показать

8.14, пох. (?), 15:08, 16/08/2019 [^] [^^] [^^^] [ответить]	+2 +/–
расскажите историю успеха, что-ли ... текст свёрнут, показать

8.30, Аноним (30), 11:35, 18/08/2019 [^] [^^] [^^^] [ответить]	+/–
прикольно Виртуальный хостинг на OpenLiteSpeed... текст свёрнут, показать

5.23, KonstantinB (ok), 21:49, 16/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
А с каких пор nginx разучился в fcgi? ngx_http_fastcgi_module существует с версии 0.19 или типа того.

6.24, Ilya Indigo (ok), 08:44, 17/08/2019 [^] [^^] [^^^] [ответить]	+/–
Можете по подробнее? В нём, как и в Apache, можно подключить wraper php, и получить аналог связки Apache + PHP via FastCGI? Я никогда не видел такой конфигурации и не слышал про неё. Обычно nginx или прокси апача или nginx + php-frm.

7.27, пох. (?), 09:51, 18/08/2019 [^] [^^] [^^^] [ответить]

–1 +/–

Илюша, у тебя в голове опять какая-то каша. Для справок: fpm расшифровывается как "fastcgi process manager", и никакого другого fcgi-интерфейса к php сто лет уже нет.

Похоже, ты просто не в курсе, что такое fastcgi, что такое - cgi, и что Слава КПСС вообще не человек. Почитай уже, пожалуйста, хоть викивракию по теме, а потом уже задавай вопросы.

Возможно, они у тебя в процессе отпадут сами.

8.31, Ilya Indigo (ok), 11:36, 18/08/2019 [^] [^^] [^^^] [ответить]	+/–
zypper se php7-f php7-fastcgi 124 Модуль PHP7 FastCGI php7-fpm 124 ... текст свёрнут, показать

9.33, пох. (?), 16:19, 18/08/2019 [^] [^^] [^^^] [ответить]	+/–
в курсе Это не fastcgi - вообще Это безнадежно устаревшая гнилая технология, т... текст свёрнут, показать

5.29, Аноним (30), 11:30, 18/08/2019 [^] [^^] [^^^] [ответить]	+/–
nginx имеет динамику, особенно fastcgi (ведь ты его называешь динамикой)

6.32, Ilya Indigo (ok), 11:41, 18/08/2019 [^] [^^] [^^^] [ответить]	+/–
> nginx имеет динамику, особенно fastcgi (ведь ты его называешь динамикой) Можете привести пример конфигурации, или ссылку на такой пример, где nginx работает с PHP именно как FastCGI через врапер, а не через php-fpm, который берёт на себя всю "динамику", о которой ngnx даже не знает?

3.17, Michael Shigorin (ok), 15:49, 16/08/2019 [^] [^^] [^^^] [ответить]

–8 +/–

> ngnx, который не умеет в динамику.

Ой, а это кто? Если очепятка и речь про nginx -- главное, нашим экземплярам не говорите, а то они пока ещё всё умеют: http://altlinux.org/nginx/fcgiwrap

PS AOT: сабж позавчера ещё приехал...

4.18, пох. (?), 16:12, 16/08/2019 [^] [^^] [^^^] [ответить]

+2 +/–

ну ты правда думаешь что открыл кому-то америку? fcgiwrap - уродливая и совершенно неэффективная поделка, сводящая весь тот nginx обратно к апачу с suexec, привет 1997й. Да и надежность ее вызывает определенные сомнения в том, что к этому неловимому джо всерьез подбирались.

Разработчики (кто бы они сегодня ни были) ниасилили ничего подобного в самом nginx, и не просто так.

так что я бы с интересом поизучал litespeed, если бы подвернулась подходящая кошка.

Интересно, у них документация на их чудо-апи где-то в человеческом виде есть, или как всегда?

5.20, Michael Shigorin (ok), 17:26, 16/08/2019 [^] [^^] [^^^] [ответить]	–3 +/–
> ну ты правда думаешь что открыл кому-то америку? Ну мало ли.

6.34, пох. (?), 16:21, 18/08/2019 [^] [^^] [^^^] [ответить]

+/–

ну в принципе, да - вон некоторые вообще эксгумировали труп пятитысячелетней тухлости, как я погляжу - и зачем-то держатся за него руками и ногами.

Это ж надо - mod_fcgi...

4.25, Ilya Indigo (ok), 08:46, 17/08/2019 [^] [^^] [^^^] [ответить]	+/–
Михаил! Но вот от Вас такого детского стиля я ник не ожидал. :-( Расскажите тогда подробнее о fcgiwrap В нём, как и в Apache, можно подключить wraper php, и получить аналог связки Apache + PHP via FastCGI?

3.26, Hewlett Packard (?), 10:21, 17/08/2019 [^] [^^] [^^^] [ответить]

–2 +/–

> ngnx, который не умеет в динамику

Cloudflare это расскажите, и еще очень много кому, например Kong (https://konghq.com/solutions/gateway/)

То что динамика на PHP - это лучше к Апачу, это не про динамику, это про динамику начала двухтысячных.

1.21, Аноним (21), 19:16, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>проблема в mod_http2, которая может привести к повреждению памяти при отправке push-запросов на очень ранней стадии Ну это просто пушка!

Добавить комментарий

Текст: