2.4.58 dəyişikliyi təqdim edən və üç boşluğu aradan qaldıran Apache HTTP serverinin 33 buraxılışı nəşr olunub, bunlardan ikisi HTTP/2 protokolundan istifadə edən sistemlərə DoS hücumunun həyata keçirilməsi imkanları ilə bağlıdır.
- CVE-2023-45802 HTTP/2 axını RST bayrağı ilə paket tərəfindən sıfırlandıqdan sonra yaddaşın boşaldılması gecikməsi səbəbindən yaddaş tükənməsi vəziyyəti yaradılır. Yaddaş RST bayrağı işləndikdən dərhal sonra buraxılmadığından, ancaq əlaqə bağlandıqdan sonra təcavüzkar yeni sorğular göndərməklə və onları RST paketi ilə təmizləməklə, lakin əlaqəni bağlamadan yaddaş istehlakını əhəmiyyətli dərəcədə artıra bilər.
- CVE-2023-43622 – İlkin sürüşmə pəncərə ölçüsü 2-a təyin edilməklə açılıbsa, HTTP/0 bağlantısının işlənməsi qeyri-müəyyən müddətə bloklanır. Zəiflikdən icazə verilən maksimum açıq əlaqə sayı limitini aşaraq xidmətdən imtinaya səbəb olmaq üçün istifadə oluna bilər.
- CVE-2023-31122 mod_macro-da məlumatların ayrılmış buferdən kənar ərazidən oxunmasına imkan verən zəiflikdir.
Təhlükəsizliyə aid olmayan dəyişikliklər arasında:
- mod_http2 HTTP/2 bağlantısındakı axın üzərində WebSocket protokolundan istifadə üçün dəstək əlavə edir (RFC 8441). HTTP/2 üzərindən WebSocket-i aktivləşdirmək üçün "H2WebSockets on|off" direktivi təklif edilmişdir.
- "2 Erkən İpucu" cavabına başlıqlar əlavə etmək üçün mod_http2-ə "H103EarlyHint name value" direktivi əlavə edildi.
- HTTP/2 sorğu emalının proxy konfiqurasiyasında aktiv olub-olmamasına nəzarət etmək üçün mod_http2-yə 'H2ProxyRequests on|off' direktivi əlavə edildi.
- 'H2MaxDataFrameLen n' direktivi HTTP/2-də bir DATA çərçivəsində ötürülən baytlarda cavab orqanının maksimum ölçüsünü məhdudlaşdırmaq üçün mod_http2-yə əlavə edilmişdir. Varsayılan limit 16KB-dir.
- ".js" genişləndirilməsinin "tətbiq/javascript" əvəzinə "mətn/javascript" növünə bağlandığı mime.types faylı yeniləndi və genişlənmələr əlavə edildi: ".mjs" ("mətn/javascript" növü ilə). ) və ".opus" ( 'audio/ogg'). WebAssembly-də istifadə edilən MIME növləri və uzantıları əlavə edildi.
- Mod_tls modulu (Rust dilində mod_ssl-a alternativ) rustls-ffi 0.9.2+ kitabxanasından istifadə etmək üçün tərcümə edilmişdir.
- MDMainlərin VirtualHosts məzmununa necə uyğunlaşdırıldığına nəzarət etmək üçün mod_md moduluna 'MDMatchNames all|servernames' direktivi əlavə edildi.
- DNS yoxlaması üçün istifadə edilən ACME protokol versiyasını seçmək üçün mod_md moduluna 'MDChallengeDns01Version' direktivi əlavə edilmişdir.
- mod_md fərdi domenlər üçün MDChallengeDns01 direktivindən istifadə etməyə imkan verir.
- WebDav deposunun kökünə gedən yolu konfiqurasiya etmək üçün mod_dav-a 'DavBasePath' direktivi əlavə edildi.
- Location blokunda Alias dəyərini tam yol kimi istifadə etmək üçün mod_alias-a 'AliasPreservePath' direktivi əlavə edildi.
- Nisbi yollardan istifadə edərək yönləndirməyə imkan verən mod_alias-a 'RedirectRelative' direktivi əlavə edildi.
- %{z} və %{strftime-format} format təyinediciləri ErrorLogFormat direktivinə əlavə edilmişdir.
- Sıxılma istifadə edildikdə ETag-ın necə dəyişdiyinə nəzarət etmək üçün mod_deflate-ə 'DeflateAlterETag' direktivi əlavə edildi.
- send_brigade_nonblocking() funksiyasının performansı optimallaşdırılıb.
- Mod_status dublikat "BusyWorkers" və "IdleWorkers" açarlarının silinməsini və yeni "GracefulWorkers" sayğacının əlavə edilməsini təmin edir.
Mənbə: opennet.ru