Опубликован (https://www.mail-archive.com/announce@httpd.apache.org/...) релиз HTTP-сервера Apache 2.4.39, в котором представлено 18 изменений (http://www.apache.org/dist/httpd/CHANGES_2.4.39) и устранено 7 уязвимостей (http://httpd.apache.org/security/vulnerabilities_24.html).Наиболее опасная уязвимость (CVE-2019-0211 (https://security-tracker.debian.org/tracker/CVE-2019-0211)) позволяет локальному злоумышленнику (например, пользователю хостинга), имеющему возможность выполнить свой скрипт под управлением web-сервера (в том числе через mod_php, mod_lua, mod_perl и т.п.), добиться выполнения кода с правами управляющего процесса, обычно запускаемого с привилегиями root. Проблема проявляется при применении MPM-модулей event, worker или prefork и может быть эксплуатирована через через манипуляции с областью scoreboard, применяемой для организации взаимодействия между дочерним и родительским процессом Уязвимость проявляется начиная с выпуска 2.4.17.
Другие уязвимости:
- CVE-2019-0217 - возможность обхода средств разграничения доступа в mod_auth_digest. Злоумышленник, обладающий корректными параметрами входа, может получить доступ под другим именем пользователя. Проблема вызвана созданием состояния гонки (race condition) при запуске mod_auth_digest на сервере, работающем в многопоточном режиме. Проблема проявляется во всех выпусках ветки 2.4;
- CVE-2019-0215 - обход ограничений доступа в mod_ssl. При использовании привязки клиентского сертификата к пути или каталогу (настройки Location и Directory) в случае применения TLSv1.3 пользователь с поддержкой аутентификации после завершения согласования соединения (Post-Handshake Authentication) может обойти установленные ограничения доступа. Проблема затрагивает только выпуски 2.4.37 и 2.4.38;
- CVE-2019-0197 - отказ в обслуживании (крах процесса) через манипуляцию с запросами HTTP/2 (попытка обновить соединение http/1.1 до http/2, в случае если это не первый запрос в цепочке). Проблема проявляется в 2.4.34 и более новых выпусках на серверах с включенным модулем mod_http2;
- CVE-2019-0196 - чтение из уже освобождённой области памяти в mod_http2. Проблема проявляется начиная с выпуска 2.4.18 и может привести к краху при обработке определённым образом оформленных запросов;
- CVE-2019-0220 - различное поведение при нормализация запросов с повторяющимися слешами ('//'). Директивы LocationMatch и RewriteRule требуют явной обработки дубликатов в регулярных выражениях, в то время как в остальных директивах дубликаты автоматически объединяются. Проблема проявляется во всех выпусках ветки 2.4. Начиная с текущего выпуска слеши в URL всегда объединяются, но отключить это поведение можно при помощи настройки "MergeSlashes OFF".
Обновления пакетов с устранением уязвимостей уже доступны во FreeBSD (http://www.vuxml.org/freebsd/cf2105c6-551b-11e9-b95c-b499bae...). Проблемы пока остаются неисправленными в SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-0211), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-0211), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1694986), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...) и Debian (https://security-tracker.debian.org/tracker/CVE-2019-0211).
Наиболее заметные изменения, не связанные с безопасностью:
- В mod_log_config добавлена поддержка подстановок "%{c}h" для хоста принявшего соединение (conn-hostname) и "%h" для хоста подключившегося пользователя (useragent_host);
- Добавлен модуль mod_socache_redis для хранения совместного кэша объектов (socache, Shared Object Cache, например используется для SSLSessionCache и SSLStaplingCache) в СУБД Redis;
- Добавлена новая настройка 'MergeSlashes on|off' для управления объединением дублирующихся символов '/' в URL поступившего запроса;
- В mod_http2 реализована новая настройка "H2Padding numbits", где numbits значение от 0 до 8, для управления добавочным заполнением блоков HTTP/2;
- Из mod_http2 удалён внутренний API h2_req_engine, который больше не требуется для работы mod_proxy_http2. Полностью переработана реализация модуля mod_proxy_http2;
- В mod_http2 реализована возможность указания настроек H2Push и H2Upgrade в контексте блоков Location и Directory, что позволяет отключить метод PUSH для определённого набора ресурсов;
- В mod_reqtimeout добавлена возможность задания таймаутов для
этапа согласования TLS-соединений;
- В mod_proxy_wstunnel налажена работа прокси для проброса websocket поверх UDS.
URL: https://www.mail-archive.com/announce@httpd.apache.org/...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50447