təqdim edilən Apache HTTP server 2.4.41 buraxılışı (reliz 2.4.40 buraxıldı) və aradan qaldırıldı :
- mod_http2-də çox erkən mərhələdə təkan sorğuları göndərərkən yaddaşın pozulmasına səbəb ola biləcək bir problemdir. "H2PushResource" parametrindən istifadə edərkən, sorğunun emal hovuzunda yaddaşın üzərinə yazmaq mümkündür, lakin yazılan məlumatlar müştəridən alınan məlumatlara əsaslanmadığından problem qəza ilə məhdudlaşır;
- - son məruz qalma HTTP/2 tətbiqlərində DoS zəiflikləri.
Təcavüzkar serverin məhdudiyyətsiz məlumat göndərməsi üçün sürüşmə HTTP/2 pəncərəsi açaraq, lakin TCP pəncərəsini bağlı saxlayaraq, məlumatların faktiki olaraq rozetkaya yazılmasının qarşısını alaraq proses üçün mövcud olan yaddaşı tükədə və ağır CPU yükü yarada bilər; - - sorğuları digər resurslara yönləndirmək üçün serverdən istifadə etməyə imkan verən mod_rewrite-də problem (açıq yönləndirmə). Bəzi mod_rewrite parametrləri istifadəçinin mövcud yönləndirmədə istifadə olunan parametr daxilində yeni sətir simvolu ilə kodlanmış başqa bir keçidə yönləndirilməsi ilə nəticələnə bilər. RegexDefaultOptions-da problemi bloklamaq üçün siz indi standart olaraq təyin edilmiş PCRE_DOTALL bayrağından istifadə edə bilərsiniz;
- - mod_proxy tərəfindən göstərilən səhv səhifələrində saytlararası skript yaratmaq imkanı. Bu səhifələrdə, link sorğudan əldə edilən URL-i ehtiva edir, burada təcavüzkar simvoldan qaçaraq ixtiyari HTML kodu daxil edə bilər;
- — PROXY protokol başlığının manipulyasiyası yolu ilə istifadə edilən mod_remoteip-də stack daşması və NULL göstərici dereference. Hücum müştəri sorğusu ilə deyil, yalnız parametrlərdə istifadə olunan proxy server tərəfindən həyata keçirilə bilər;
- - mod_http2-də boşluq, əlaqənin dayandırılması anında artıq boşalmış yaddaş sahəsindən məzmunun oxunmasına başlamaq imkanı verir (oxumaq üçün pulsuz).
Ən diqqətəlayiq qeyri-təhlükəsizlik dəyişiklikləri bunlardır:
- mod_proxy_balancer etibarlı həmyaşıdlarının XSS/XSRF hücumlarına qarşı təkmil müdafiəyə malikdir;
- Sessiya/kuki bitmə vaxtının yenilənməsi intervalını müəyyən etmək üçün mod_session-a SessionExpiryUpdateInterval parametri əlavə edilmişdir;
- Səhvləri olan səhifələr təmizləndi, bu səhifələrdəki sorğulardan məlumatların göstərilməsini aradan qaldırmağa yönəldi;
- mod_http2 əvvəllər yalnız HTTP/1.1 başlıq sahələrinin yoxlanılması üçün etibarlı olan “LimitRequestFieldSize” parametrinin dəyərini nəzərə alır;
- BalancerMember-də istifadə edildikdə mod_proxy_hcheck konfiqurasiyasının yaradılmasını təmin edir;
- Böyük kolleksiyada PROPFIND əmrindən istifadə edərkən mod_dav-da azaldılmış yaddaş istehlakı;
- mod_proxy və mod_ssl-də Proksi bloku daxilində sertifikat və SSL parametrlərinin təyin edilməsi ilə bağlı problemlər həll edildi;
- mod_proxy SSLProxyCheckPeer* parametrlərinin bütün proxy modullarına tətbiq edilməsinə imkan verir;
- Modul imkanları genişləndirildi , ACME (Avtomatik Sertifikat İdarəetmə Mühiti) protokolundan istifadə edərək sertifikatların qəbulunu və saxlanmasını avtomatlaşdırmaq üçün layihəni Şifrələyək:
- Protokolun ikinci versiyası əlavə edildi , indi standartdır və GET əvəzinə boş POST sorğuları.
- HTTP/01-də istifadə edilən TLS-ALPN-7301 genişləndirilməsi (RFC 2, Tətbiq Layer Protokolu Danışıqları) əsasında yoxlama üçün əlavə dəstək.
- 'tls-sni-01' doğrulama metodu üçün dəstək dayandırıldı (bu səbəbdən ).
- 'dns-01' metodundan istifadə edərək çeki qurmaq və pozmaq üçün əlavə əmrlər.
- Əlavə dəstək DNS əsaslı doğrulama aktiv olduqda sertifikatlarda ('dns-01').
- 'md-status' işləyicisi və sertifikat statusu səhifəsi 'https://domain/.httpd/certificate-status' tətbiq edildi.
- Statik fayllar vasitəsilə domen parametrlərini konfiqurasiya etmək üçün "MDCertificateFile" və "MDCertificateKeyFile" direktivləri əlavə edildi (avtomatik yeniləmə dəstəyi olmadan).
- "Yenilənmiş", "müddəti bitən" və ya "səhv edilmiş" hadisələr baş verdikdə xarici əmrlərə zəng etmək üçün "MDMessageCmd" direktivi əlavə edildi.
- Sertifikatın müddətinin başa çatması haqqında xəbərdarlıq mesajını konfiqurasiya etmək üçün "MDWarnWindow" direktivi əlavə edildi;
Mənbə: opennet.ru