рэліз HTTP-сервера Apache 2.4.41 (выпуск 2.4.40 быў прапушчаны), у якім прадстаўлена і ўхілена :
- - праблема ў mod_http2, якая можа прывесці да пашкоджання памяці пры адпраўцы push-запытаў на вельмі ранняй стадыі. Пры выкарыстанні налады «H2PushResource» магчымы перазапіс вобласці памяці ў пуле апрацоўкі запытаў, але праблема абмежавана крахам, бо якія запісваюцца дадзеныя не засноўваюцца на інфармацыі, атрыманай ад кліента;
- - схільнасць нядаўна DoS-уразлівасці ў рэалізацыях HTTP/2.
Атакуючы можа вычарпаць даступную працэсу памяць і стварыць вялікую нагрузку на CPU, адчыняючы слізгальнае акно HTTP/2 для адпраўкі серверам дадзеных без абмежаванняў, але пры гэтым трымаючы акно TCP зачыненым, што не дазваляе фактычна запісаць дадзеныя ў сокет; - - праблема ў mod_rewrite, якая дазваляе выкарыстоўваць сервер для пракіду зваротаў на іншыя рэсурсы (open redirect). Некаторыя налады mod_rewrite могуць прывесці да выкіду карыстальніка на іншую спасылку, закадаваную з выкарыстаннем сімвала перакладу радка ўнутры параметра, які выкарыстоўваецца ў існуючым рэдырэкце. Для блакавання праблемы ў RegexDefaultOptions можна выкарыстоўваць сцяг PCRE_DOTALL, які зараз выстаўлены па змаўчанні;
- - магчымасць здзяйснення міжсайтавага скрыптынгу на старонках памылак, якія выводзяцца mod_proxy. На дадзеных старонках у спасылцы падстаўляецца атрыманы з запыту URL, у якім атакавалы праз экранаванне знакаў можа падставіць адвольны HTML-код;
- - перапаўненне стэка і разнайменне паказальніка NULL у mod_remoteip, якое эксплуатуецца праз маніпуляцыі з загалоўкам пратаколу PROXY. Атака можа быць здзейснена толькі з боку выкарыстоўванага ў наладах проксі-сервера, а не праз запыт кліента;
- - Уразлівасць у mod_http2, якая дазваляе ў момант завяршэння злучэння ініцыяваць чытанне змесціва з ужо вызваленай вобласці памяці (read-after-free).
Найбольш прыкметныя змены, не звязаныя з бяспекай:
- У mod_proxy_balancer узмоцнена абарона ад нападаў XSS/XSRF са боку вузлоў, годных даверу;
- У mod_session дададзена налада SessionExpiryUpdateInterval для вызначэння інтэрвалу абнаўлення часу заканчэння жыцця сеансу/cookie;
- Праведзена чыстка старонак з памылкамі, накіраваная на выключэнні вываду на дадзеных старонках інфармацыі з запытаў;
- У mod_http2 забяспечаны ўлік значэння параметра "LimitRequestFieldSize", які раней дзейнічаў толькі для праверкі палёў загалоўкаў HTTP/1.1;
- Забяспечана стварэнне канфігурацыі mod_proxy_hcheck пры ім выкарыстанні ў BalancerMember;
- Скарочана спажыванне памяці ў mod_dav пры выкарыстанні каманды PROPFIND над вялікай калекцыяй;
- У mod_proxy і mod_ssl вырашаны праблемы з указаннем налад сертыфікатаў і SSL у ўнутры блока Proxy;
- У mod_proxy дазволена ўжыванне налад SSLProxyCheckPeer* для ўсіх модуляў проксі;
- Пашыраны магчымасці модуля , праектам Let's Encrypt для аўтаматызацыі атрымання і абслугоўвання сертыфікатаў з выкарыстаннем пратакола ACME (Automatic Certificate Management Environment):
- Дададзена другая версія пратакола , якая цяпер прымяняецца па змаўчанні і пустыя запыты POST замест GET.
- Дададзена падтрымка праверкі на базе пашырэння TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), якое выкарыстоўваецца ў HTTP/2.
- Спынена падтрымка метаду праверкі 'tls-sni-01' (з-за ).
- Дададзеныя каманды для налады і разрыву праверкі метадам 'dns-01'.
- Дададзена падтрымка у сертыфікатах пры ўключэнні праверкі на аснове DNS ('dns-01').
- Рэалізаваны апрацоўшчык 'md-status' і старонка са станам сертыфіката "https://domain/.httpd/certificate-status".
- Дададзены дырэктывы "MDCertificateFile" і "MDCertificateKeyFile" для налады параметраў даменаў праз статычныя файлы (без падтрымкі аўтаабнаўлення).
- Дададзена дырэктыва "MDMessageCmd" для выкліку вонкавых каманд пры наступе падзей 'renewed', 'expiring' або 'errored'.
- Дададзена дырэктыва «MDWarnWindow» для настройкі паведамлення з папярэджаннем аб заканчэнні часу дзеяння сертыфіката;
Крыніца: opennet.ru