рэліз HTTP-сервера Apache 2.4.46 (выпускі 2.4.44 і 2.4.45 былі прапушчаны), у якім прадстаўлена і ўхілена :
- - перапаўненне буфера ў модулі mod_proxy_uwsgi, якая можа прывесці да ўцечкі інфармацыі або выкананні кода на серверы пры адпраўцы спецыяльна аформленага запыту. Эксплуатацыя ўразлівасці ажыццяўляецца праз перадачу вельмі доўгага HTTP-загалоўка. Для абароны дададзена блакіроўка загалоўкаў, даўжэй 16K (абмежаванне, вызначанае ў спецыфікацыі пратаколу).
- - уразлівасць у модулі mod_http2, якая дазваляе выклікаць крах працэсу пры адпраўцы запыту са адмыслова аформленым загалоўкам HTTP/2. Праблема выяўляецца пры ўключэнні адладкі ці трасіроўкі ў модулі mod_http2 і выяўляецца ў пашкоджанні змесціва памяці з-за станы гонкі пры захаванні інфармацыі ў логу. Праблема не выяўляецца пры выстаўленні LogLevel у значэнне "info".
- - уразлівасць у модулі mod_http2, якая дазваляе выклікаць крах працэсу пры адпраўцы праз HTTP/2 запыту са адмыслова аформленым значэннем загалоўка 'Cache-Digest' (крах узнікае пры спробе выканання аперацыі HTTP/2 PUSH для рэсурсу). Для блакавання ўразлівасці можна выкарыстоўваць наладу "H2Push off".
- - уразлівасць mod_remoteip, якая дазваляе арганізаваць спуфінг IP-адрасоў пры праксіраванні, выкарыстаючы mod_remoteip і mod_rewrite. Праблема праяўляецца толькі для выпускаў з 2.4.1 па 2.4.23.
Найбольш прыкметныя змены, не звязаныя з бяспекай:
- З mod_http2 выдаленая падтрымка чарнавой спецыфікацыі , прасоўванне якой спынена.
- Змененыя паводзіны дырэктывы «LimitRequestFields» у mod_http2, указанне значэння 0 зараз адключае абмежаванне.
- У mod_http2 забяспечана апрацоўка асноўных і другасных (master/secondary) злучэнняў і пазнака метадаў у залежнасці ад выкарыстання.
- У выпадку атрымання некарэктнага змесціва загалоўка Last-Modified ад скрыпту FCGI/CGI, дадзены загаловак зараз выдаляецца, а не замяняецца за эпахальны час (Unix epoch).
- У код дададзена функцыя ap_parse_strict_length() для строгага разбору памеру кантэнту.
- У mod_proxy_fcgi у ProxyFCGISetEnvIf забяспечана выдаленне зменных асяроддзі, калі зададзены выраз вяртае False.
- Ухілена стан гонкі і магчымы крах mod_ssl пры выкарыстанні сертыфіката кліента, зададзенага праз наладу SSLProxyMachineCertificateFile.
- Ухіленая ўцечка памяці ў mod_ssl.
- У mod_proxy_http2 забяспечана выкарыстанне параметру проксі» пры праверцы працаздольнасці новага або паўторна выкарыстоўванага злучэння з бэкэндам.
- Спыненае звязванне httpd з опцыяй "-lsystemd", калі актываваны mod_systemd.
- У mod_proxy_http2 забяспечаны ўлік налады ProxyTimeout пры чаканні ўваходных дадзеных праз злучэнні з бэкэндам.
Крыніца: opennet.ru