Релиз http-сервера Apache 2.4.46 с устранением уязвимостей

8 августа 2020 года

Опубликован релиз HTTP-сервера Apache 2.4.46 (выпуски 2.4.44 и 2.4.45 были пропущены), в котором представлено 17 изменений(недоступная ссылка) и устранено 3 уязвимости:

• CVE-2020-11984 - переполнение буфера в модуле mod_proxy_uwsgi, которая может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков, длиннее 16K (ограничение, определённое в спецификации протокола).
• CVE-2020-11993 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке запроса со специально оформленным заголовком HTTP/2. Проблема проявляется при включении отладки или трассировки в модуле mod_http2 и выражается в повреждении содержимого памяти из-за состояния гонки при сохранении информации в логе. Проблема не проявляется при выставлении LogLevel в значение "info".
• CVE-2020-9490 - уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке через HTTP/2 запроса со специально оформленным значением заголовка 'Cache-Digest' (крах возникает при попытке выполнения операции HTTP/2 PUSH для ресурса). Для блокирования уязвимости можно использовать настройку "H2Push off".
• CVE-2020-11985 - уязвимость mod_remoteip, позволяющая организовать спуфинг IP-адресов при проксировании, используя mod_remoteip и mod_rewrite. Проблема проявляется только для выпусков с 2.4.1 по 2.4.23.

Наиболее заметные изменения, не связанные с безопасностью:

• Из mod_http2 удалена поддержка черновой спецификации kazuho-h2-cache-digest, продвижение которой прекращено.
• Изменено поведение директивы "LimitRequestFields" в mod_http2, указание значения 0 теперь отключает ограничение.
• В mod_http2 обеспечена обработка основных и вторичных (master/secondary) соединений и пометка методов в зависимости от использования.
• В случае получения некорректного содержимого заголовка Last-Modified от скрипта FCGI/CGI, данный заголовок теперь удаляется, а не заменяется за эпохальное время (Unix epoch).
• В код добавлена функция ap_parse_strict_length() для строгого разбора размера контента.
• В mod_proxy_fcgi в ProxyFCGISetEnvIf обеспечено удаление переменных окружения, если заданное выражение возвращает False.
• Устранено состояние гонки и возможный крах mod_ssl при использовании сертификата клиента, заданного через настройку SSLProxyMachineCertificateFile.
• Устранена утечка памяти в mod_ssl.
• В mod_proxy_http2 обеспечено использование параметра прокси "ping" при проверке работоспособности нового или повторно используемого соединения с бэкендом.
• Прекращено связывание httpd с опцией "-lsystemd", если активирован mod_systemd.
• В mod_proxy_http2 обеспечен учёт настройки ProxyTimeout при ожидании входящих данных через соединения с бэкендом.