The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от opennews (?), 16-Авг-19, 12:05 
Опубликован (https://www.mail-archive.com/announce@httpd.apache.org/...) релиз HTTP-сервера Apache 2.4.41 (выпуск 2.4.40 был пропущен), в котором представлено 23 изменения (http://www.apache.org/dist/httpd/CHANGES_2.4.41) и устранено 6 уязвимостей (http://httpd.apache.org/security/vulnerabilities_24.html).

-   CVE-2019-10081 (https://www.mail-archive.com/announce@httpd.apache.org/...) - проблема в  mod_http2, которая может привести к повреждению памяти при отправке push-запросов на очень ранней стадии. При использовании настройки "H2PushResource" возможна перезапись области памяти в пуле обработки запросов, но проблема ограничена крахом, так как записываемые данные не основываются на информации, полученной от клиента;

-  CVE-2019-9517 (https://www.mail-archive.com/announce@httpd.apache.org/...) - подверженность недавно анонсированной (https://www.opennet.ru/opennews/art.shtml?num=51279) DoS-уязвимости в реализациях HTTP/2.  
Атакующий может исчерпать доступную процессу память и создать большую нагрузку на CPU, открывая скользящее окно HTTP/2 для отправки сервером данных без ограничений, но при этом держа окно TCP закрытым, что не позволяет фактически записать данные в сокет;

-  CVE-2019-10098 (https://www.mail-archive.com/announce@httpd.apache.org/...) - проблема в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые  настройки mod_rewrite могут привести к пробросу пользвателя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе. Для блокирования проблемы в RegexDefaultOptions  можно использовать флаг PCRE_DOTALL, который теперь выставлен по умолчанию;
-   CVE-2019-10092 (https://www.mail-archive.com/announce@httpd.apache.org/...) - возможность совершения межсайтового скриптинга на страницах ошибок, выводимых mod_proxy. На данных страницах в ссылке подставляется полученный из запроса URL, в котором атакующий через экранирование символов может подставить произвольный HTML-код;


-  CVE-2019-10097 (https://www.mail-archive.com/announce@httpd.apache.org/...) - переполнение стека и разыменование указателя NULL в    mod_remoteip, эксплуатируемое через манипуляции с заголовком протокола PROXY. Атака может быть совершена только со стороны используемого в настройках прокси-сервера, а не через запрос клиента;


-  CVE-2019-10082 (https://www.mail-archive.com/announce@httpd.apache.org/...) - уязвимость в  mod_http2, позволяющая  в момент завершения соединения инициировать чтение  содержимого из уже освобождённой области памяти (read-after-free).

Наиболее заметные изменения, не связанные с безопасностью:


-  В mod_proxy_balancer усилена защита от атак XSS/XSRF со стороны узлов, заслуживающих доверия;
-  В mod_session добавлена настройка SessionExpiryUpdateInterval для определения интервала обновления времени истечения жизни сеанса/cookie;

-  Проведена чистка страниц с ошибками, направленная на исключения вывода на данных страницах информации из запросов;

-  В mod_http2 обеспечен учёт значения параметра "LimitRequestFieldSize", который раньше действовал только для проверки полей заголовков HTTP/1.1;


-  Обеспечено создание конфигурации  mod_proxy_hcheck при его использовании в  BalancerMember;


-  Сокращено потребление памяти в mod_dav при использовании команды PROPFIND над большой коллекцией;

-  В  mod_proxy и mod_ssl решены проблемы с указанием настроек сертификатов и SSL в внутри блока Proxy;

-  В mod_proxy разрешено применение настроек SSLProxyCheckPeer* для всех модулей прокси;


-  Расширены возможности модуля mod_md (https://httpd.apache.org/docs/2.4/mod/mod_md.html), разработанного (https://www.opennet.ru/opennews/art.shtml?num=47403) проектом Let's Encrypt  для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment):


-  Добавлена вторая версия протокола ACMEv2 (https://www.opennet.ru/opennews/art.shtml?num=48255), которая теперь применяется по умолчанию и использует (https://community.letsencrypt.org/t/acme-v2-scheduled-deprec...) пустые запросы POST  вместо GET.  
-  Добавлена поддержка проверки на базе расширения TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), которое используется в HTTP/2.
-  Прекращена поддержка метода проверки 'tls-sni-01'.
-  Добавлены команды для настройки и разрыва проверки методом 'dns-01'.
-  Добавлена поддержка масок в сертификатах при включении проверки на основе DNS ('dns-01').
-  Реализован обработчик 'md-status' и страница с состоянием сертификата "https://domain/.httpd/certificate-status".
-   Добавлены директивы "MDCertificateFile" и "MDCertificateKeyFile" для настройки параметров доменов через статические файлы (без поддержки автообновления).
-  Добавлена директива "MDMessageCmd" для вызова внешних команд при наступлении событий 'renewed', 'expiring' или 'errored'.
-  Добавлена директива "MDWarnWindow" для настройки сообщения с предупреждением об истечении времени действия сертификата;

URL: https://www.mail-archive.com/announce@httpd.apache.org/...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51298

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –2 +/
Сообщение от пох. (?), 16-Авг-19, 12:05 
шо, опять что-то не так с прекрасным http2? Ну кто бы мог подумать! (если бы было, чем)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –1 +/
Сообщение от пох. (?), 18-Авг-19, 09:54 
P.S. господа сочувствующие - не трогайте мои минусы, я рад что среди читателей опеннета не все еще потеряно, но если вы выводите статистику в ноль - я лишаюсь удовольствия наблюдать массовый подрыв пуканов.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Аноним (2), 16-Авг-19, 12:13 
О Apache не только DoS проблемы еще RCE
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –7 +/
Сообщение от Аноним (3), 16-Авг-19, 12:20 
где он используется? вроде везде уже nginx
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –2 +/
Сообщение от Ilya Indigo (ok), 16-Авг-19, 12:30 
На большинстве серверов, включая совместно с ngnx, который не умеет в динамику.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –1 +/
Сообщение от Аноним (5), 16-Авг-19, 12:33 
Apache тоже не умеет в динамику без модулей и бекендов. Или ты CGI считаешь динамикой?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Ilya Indigo (ok), 16-Авг-19, 12:37 
> Apache тоже не умеет в динамику без модулей и бекендов. Или ты
> CGI считаешь динамикой?

Apache умеет в модули, особенно в FCGI модуль, его я и называю динамикой!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –1 +/
Сообщение от Аноним (7), 16-Авг-19, 13:32 
nginx unit?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +1 +/
Сообщение от Ilya Indigo (ok), 16-Авг-19, 13:37 
> nginx unit?

1 nginx != nginx unit
2 nginx unit - не может в статику
3 nginx unit, как я выяснил в одной из новостных веток ngnx, не похож на FactCGI, в том виде в котором он есть сейчас и предназначен как сервер приложений, а не динамическое дополнение, как FastCGI.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Аноним (7), 16-Авг-19, 14:04 
Вы его когда-нибудь вообще использовали?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Ilya Indigo (ok), 16-Авг-19, 14:29 
> Вы его когда-нибудь вообще использовали?

Нет. Его даже в openSUSE Tumbleweed не завезли чтобы в него "потыкать палочкой".

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +1 +/
Сообщение от Аноним (2), 16-Авг-19, 14:11 
OpenLiteSpeed умеет в динамику и статику, умеет htaccess шах и мат!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Ilya Indigo (ok), 16-Авг-19, 14:32 
> OpenLiteSpeed умеет в динамику и статику, умеет htaccess шах и мат!

Если бы про него ещё кто-то бы слышал кроме Вас.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –1 +/
Сообщение от anonymoussssss (?), 16-Авг-19, 15:00 
Причём тут слышал или нет, главное чтобы работу свою выполнял. (Тоже про него не слышал)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +1 +/
Сообщение от пох. (?), 16-Авг-19, 15:09 
в этом и проблема - он может ее и выполняет, но, чую, при некоторых "если". И вот о них-то хотелось бы послушать кого-то, а не быть первым в беге по граблям.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –1 +/
Сообщение от anonymoussssss (?), 16-Авг-19, 17:24 
Согласимся, но всегда кто-то должен быть первым. Apache и ngnix тоже когда-то начинали, а первопроходцы на грабли наступали.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +1 +/
Сообщение от пох. (?), 16-Авг-19, 19:31 
у нас тогда выбора не было.
И к тому же было, к кому обратиться. С апачем мне помогал ank@, с nginx нашей конторе помогал Сысоев.

А тут - брень, мани-мани... и не факт что за них не выразят озабоченность, по телефону.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

16. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Ilya Indigo (ok), 16-Авг-19, 15:14 
> Причём тут слышал или нет, главное чтобы работу свою выполнял. (Тоже про
> него не слышал)

А пруфы где что выполняет и какую именно работу?
Отобразить Hello word?
Начасать языком можно что угодно!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +2 +/
Сообщение от пох. (?), 16-Авг-19, 15:08 
расскажите историю успеха, что-ли?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

30. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Аноним (30), 18-Авг-19, 11:35 
прикольно. Виртуальный хостинг на OpenLiteSpeed
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

23. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –1 +/
Сообщение от KonstantinB (ok), 16-Авг-19, 21:49 
А с каких пор nginx разучился в fcgi? ngx_http_fastcgi_module существует с версии 0.19 или типа того.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

24. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Ilya Indigo (ok), 17-Авг-19, 08:44 
Можете по подробнее?
В нём, как и в Apache, можно подключить wraper php, и получить аналог связки Apache + PHP via FastCGI?
Я никогда не видел такой конфигурации и не слышал про неё. Обычно nginx или прокси апача или nginx + php-frm.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –1 +/
Сообщение от пох. (?), 18-Авг-19, 09:51 
Илюша, у тебя в голове опять какая-то каша. Для справок: fpm расшифровывается как "fastcgi process manager", и никакого другого fcgi-интерфейса к php сто лет уже нет.

Похоже, ты просто не в курсе, что такое fastcgi, что такое - cgi, и что Слава КПСС вообще не человек.  Почитай уже, пожалуйста, хоть викивракию по теме, а потом уже задавай вопросы.

Возможно, они у тебя в процессе отпадут сами.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

31. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Ilya Indigo (ok), 18-Авг-19, 11:36 
> Для справок: fpm расшифровывается как "fastcgi process manager"
> никакого другого fcgi-интерфейса к php сто лет уже нет.

zypper se php7-f*
php7-fastcgi  | Модуль PHP7 FastCGI
php7-fpm      | Модуль PHP7 менеджера процессов FastCGI

> Похоже, ты просто не в курсе

Похоже Вы не в курсе чем отличается FastCGI через врапер веб-сервера, за управление которого отвечает веб-сервер и fpm, где веб сервер отдаёт только статику и ничего не знает о php, который сам обрабатывает себя на отдельном демоне.
И то и то FastCGI, не спорю, но реализованы они совершено по разному.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

33. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от пох. (?), 18-Авг-19, 16:19 
> Похоже Вы не в курсе чем отличается FastCGI через врапер веб-сервера,

в курсе. Это не fastcgi - вообще.
Это безнадежно устаревшая гнилая технология, тяжкое наследие времен, когда разработчики пехепе пыжились-пыжылись, но так и не осилили полноценную поддержку этого протокола.
(оно в таком виде даже "запускалось", только для работы было непригодно)

собственно, никем кроме пехепе такой уродливый комбайн не использовался, и я в принципе удивлен что suse каким-то образом все еще ухитряется его собрать (он там сто лет как поломан. за полной ненужностью)

Апач - никуда не годный менеджер процессов. Ему бы за своими кое-как уследить. Не надо нагружать его еще и совершенно несвойственной ему деятельностью. php-fpm с этой задачей справляется несравнимо лучше.

> где веб сервер отдаёт только статику и ничего не знает о php,

он _знает_ о php ровно то, что надо знать веб-серверу - как передать ему параметры запроса и как получить ответ. И работает это через mod_proxy_fcgi, а не через mod_fcgi, порождение спящего разума.

Оно примерно так же "эффективно" и "надежно" как nginx'овый fcgiwrap. Можно пользоваться только с горя, унаследовав хайлоад-код на php версии 4.3

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

29. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Аноним (30), 18-Авг-19, 11:30 
nginx имеет динамику, особенно fastcgi (ведь ты его называешь динамикой)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

32. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Ilya Indigo (ok), 18-Авг-19, 11:41 
> nginx имеет динамику, особенно fastcgi (ведь ты его называешь динамикой)

Можете привести пример конфигурации, или ссылку на такой пример, где nginx работает с PHP именно как FastCGI через врапер, а не через php-fpm, который берёт на себя всю "динамику", о которой ngnx даже не знает?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

17. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –8 +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-19, 15:49 
> ngnx, который не умеет в динамику.

Ой, а это кто?  Если очепятка и речь про nginx -- главное, нашим экземплярам не говорите, а то они пока ещё всё умеют: http://altlinux.org/nginx/fcgiwrap

PS AOT: сабж позавчера ещё приехал...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +2 +/
Сообщение от пох. (?), 16-Авг-19, 16:12 
ну ты правда думаешь что открыл кому-то америку? fcgiwrap - уродливая и совершенно неэффективная поделка, сводящая весь тот nginx обратно к апачу с suexec, привет 1997й. Да и надежность ее вызывает определенные сомнения в том, что к этому неловимому джо всерьез подбирались.

Разработчики (кто бы они сегодня ни были) ниасилили ничего подобного в самом nginx, и не просто так.

так что я бы с интересом поизучал litespeed, если бы подвернулась подходящая кошка.

Интересно, у них документация на их чудо-апи где-то в человеческом виде есть, или как всегда?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –3 +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-19, 17:26 
> ну ты правда думаешь что открыл кому-то америку?

Ну мало ли.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

34. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от пох. (?), 18-Авг-19, 16:21 
ну в принципе, да - вон некоторые вообще эксгумировали труп пятитысячелетней тухлости, как я погляжу - и зачем-то держатся за него руками и ногами.

Это ж надо - mod_fcgi...

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +/
Сообщение от Ilya Indigo (ok), 17-Авг-19, 08:46 
Михаил!
Но вот от Вас такого детского стиля я ник не ожидал. :-(
Расскажите тогда подробнее о fcgiwrap
В нём, как и в Apache, можно подключить wraper php, и получить аналог связки Apache + PHP via FastCGI?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  –2 +/
Сообщение от Hewlett Packard (?), 17-Авг-19, 10:21 
> ngnx, который не умеет в динамику

Cloudflare это расскажите, и еще очень много кому, например Kong (https://konghq.com/solutions/gateway/)

То что динамика на PHP - это лучше к Апачу, это не про динамику, это про динамику начала двухтысячных.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

21. "Релиз http-сервера Apache 2.4.41 с устранением уязвимостей "  +1 +/
Сообщение от Аноним (21), 16-Авг-19, 19:16 
>проблема в mod_http2, которая может привести к повреждению памяти при отправке push-запросов на очень ранней стадии

Ну это просто пушка!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру