የ Apache HTTP አገልጋይ 2.4.46 መልቀቅ (የተለቀቀው 2.4.44 እና 2.4.45 ተዘሏል)። እና ተወግዷል :
- — በ mod_proxy_uwsgi ሞጁል ውስጥ ያለ ቋት ሞልቷል፣ ይህም በልዩ ሁኔታ የተዘጋጀ ጥያቄ ሲልክ በአገልጋዩ ላይ ወደ መረጃ መፍሰስ ወይም ኮድ አፈፃፀም ሊያመራ ይችላል። ተጋላጭነቱ በጣም ረጅም የኤችቲቲፒ አርዕስት በመላክ ጥቅም ላይ ይውላል። ለመከላከያ፣ ከ16K በላይ የሚረዝሙ ራስጌዎችን ማገድ ተጨምሯል (በፕሮቶኮል ዝርዝር ውስጥ የተገለፀው ገደብ)።
- - በልዩ ሁኔታ ከተነደፈ HTTP/2 ራስጌ ጋር ጥያቄ ሲላክ ሂደቱ እንዲበላሽ የሚያደርግ በMod_http2 ሞጁል ውስጥ ያለ ተጋላጭነት። ችግሩ በራሱ በ mod_http2 ሞጁል ውስጥ ማረም ወይም መከታተል ሲነቃ እና መረጃን ወደ ምዝግብ ማስታወሻው ውስጥ በሚያስቀምጡበት ጊዜ በዘር ሁኔታ ምክንያት በማህደረ ትውስታ ይዘት ሙስና ውስጥ ይንጸባረቃል። LogLevel ወደ “መረጃ” ሲዋቀር ችግሩ አይታይም።
- - በHTTT በኩል ጥያቄ ሲላክ ሂደቱ እንዲበላሽ የሚፈቅድ በMod_http2 ሞጁል ውስጥ ያለ ተጋላጭነት በልዩ ሁኔታ በተዘጋጀ 'Cache-Digest' ራስጌ እሴት (ብልሽቱ የኤችቲቲፒ/2 PUSH ኦፕሬሽንን በሃብት ላይ ለማድረግ ሲሞከር ነው) . ተጋላጭነቱን ለማገድ የ"H2Push off" ቅንብርን መጠቀም ይችላሉ።
- - mod_remoteip ተጋላጭነት፣ ይህም mod_remoteip እና mod_rewriteን በመጠቀም ፕሮክሲ በሚያደርጉበት ወቅት የአይፒ አድራሻዎችን እንዲያስገቡ ያስችልዎታል። ችግሩ የሚታየው ከ2.4.1 እስከ 2.4.23 ለሚለቀቁት ብቻ ነው።
በጣም ታዋቂዎቹ የደህንነት ያልሆኑ ለውጦች የሚከተሉት ናቸው
- የረቂቅ መግለጫ ድጋፍ ከ mod_http2 ተወግዷል ማስተዋወቅ ተቋርጧል።
- በmod_http2 ውስጥ የ"LimitRequestFields" መመሪያን ባህሪ ቀይሯል፤ የ0 ዋጋን መግለጽ አሁን ገደቡ ያሰናክለዋል።
- mod_http2 የመጀመሪያ እና ሁለተኛ ደረጃ (ማስተር/ሁለተኛ ደረጃ) ግንኙነቶችን እና እንደ አጠቃቀሙ ላይ በመመስረት ዘዴዎችን ምልክት ማድረግን ይሰጣል።
- የመጨረሻው የተሻሻለው የተሳሳተ የራስጌ ይዘት ከFCGI/CGI ስክሪፕት ከደረሰ፣ ይህ ራስጌ አሁን በዩኒክስ ዘመን ከመተካት ተወግዷል።
- የይዘቱን መጠን በጥብቅ ለመተንተን የap_parse_strict_length() ተግባር ወደ ኮዱ ታክሏል።
- Mod_proxy_fcgi ProxyFCGISetEnvIf የተሰጠው አገላለጽ ሐሰት ከተመለሰ የአካባቢ ተለዋዋጮች መወገዳቸውን ያረጋግጣል።
- ቋሚ የዘር ሁኔታ እና በSSLProxyMachineCertificateFile ቅንብር በኩል የተገለጸውን የደንበኛ ሰርተፍኬት ሲጠቀሙ mod_ssl ሊበላሽ ይችላል።
- በ mod_ssl ውስጥ ቋሚ የማህደረ ትውስታ መፍሰስ።
- mod_proxy_http2 የተኪ መለኪያውን መጠቀም ያቀርባል"» ከጀርባው ጋር ያለውን አዲስ ወይም እንደገና ጥቅም ላይ የዋለ ግንኙነትን ተግባራዊነት ሲፈተሽ።
- mod_systemd ሲነቃ httpd በ"-lsystemd" አማራጭ ማሰር ቆሟል።
- mod_proxy_http2 የፕሮክሲ ታይምአውት መቼት ግምት ውስጥ መግባት እንዳለበት ያረጋግጣል ከጀርባው ጋር ባለው ግንኙነት ገቢ ውሂብን ሲጠብቅ።
ምንጭ: opennet.ru