Релиз http-сервера Apache 2.4.46 с устранением уязвимостей

Опубликован релиз HTTP-сервера Apache 2.4.46 (выпуски 2.4.44 и 2.4.45 были пропущены), в котором представлено 17 изменений и устранено 3 уязвимости:

  • CVE-2020-11984 — переполнение буфера в модуле mod_proxy_uwsgi, котороя может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков, длиннее 16K (ограничение, определённое в спецификации протокола).
  • CVE-2020-11993 — уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке запроса со специально оформленным заголовком HTTP/2. Проблема проявляется при включении отладки или трассировки в модуле mod_http2 и выражается в повреждении содержимого памяти из-за состояния гонки при сохранении информации в логе. Проблема не проявляется при выставлении LogLevel в значение «info».
  • CVE-2020-9490 — уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке через HTTP/2 запроса со специально оформленным значением заголовка ‘Cache-Digest’ (крах возникает при попытке выполнения операции HTTP/2 PUSH для ресурса). Для блокирования уязвимости можно использовать настройку «H2Push off».
  • CVE-2020-11985 — уязвимость mod_remoteip, позволяющая организовать спуфинг IP-адресов при проксировании, используя mod_remoteip и mod_rewrite. Проблема проявляется только для выпусков с 2.4.1 по 2.4.23.

Наиболее заметные изменения, не связанные с безопасностью:

  • Из mod_http2 удалена поддержка черновой спецификации kazuho-h2-cache-digest, продвижение которой прекращено.
  • Изменено поведение директивы «LimitRequestFields» в mod_http2, указание значения 0 теперь отключает ограничение.
  • В mod_http2 обеспечена обработка основных и вторичных (master/secondary) соединений и пометка методов в зависимости от использования.
  • В случае получения некорректного содержимого заголовка Last-Modified от скрипта FCGI/CGI, данный заголовок теперь удаляется, а не заменяется за эпохальное время (Unix epoch).
  • В код добавлена функция ap_parse_strict_length() для строгого разбора размера контента.
  • В mod_proxy_fcgi в ProxyFCGISetEnvIf обеспечено удаление переменных окружения, если заданное выражение возвращает False.
  • Устранено состояние гонки и возможный крах mod_ssl при использовании сертификата клиента, заданного через настройку SSLProxyMachineCertificateFile.
  • Устранена утечка памяти в mod_ssl.
  • В mod_proxy_http2 обеспечено использование параметра прокси «ping» при проверке работоспособности нового или повторно используемого соединения с бэкендом.
  • Прекращено связывание httpd с опцией «-lsystemd», если активирован mod_systemd.
  • В mod_proxy_http2 обеспечен учёт настройки ProxyTimeout при ожидании входящих данных через соединения с бэкендом.

Источник: http://www.opennet.ru/opennews/art.shtml?num=53517