издание на HTTP сървъра Apache 2.4.46 (версии 2.4.44 и 2.4.45 бяха пропуснати), който въведе и елиминиран :
- — препълване на буфера в модула mod_proxy_uwsgi, което може да доведе до изтичане на информация или изпълнение на код на сървъра при изпращане на специално изработена заявка. Уязвимостта се използва чрез изпращане на много дълъг HTTP хедър. За защита е добавено блокиране на хедъри, по-дълги от 16K (ограничение, определено в спецификацията на протокола).
- — уязвимост в модула mod_http2, която позволява на процеса да се срине при изпращане на заявка със специално проектиран HTTP/2 хедър. Проблемът се проявява, когато отстраняването на грешки или проследяването е активирано в модула mod_http2 и се отразява в повреда на съдържанието на паметта поради състояние на надпревара при записване на информация в журнала. Проблемът не се появява, когато LogLevel е настроен на „info“.
- — уязвимост в модула mod_http2, която позволява на процес да се срине при изпращане на заявка чрез HTTP/2 със специално проектирана стойност на заглавката „Cache-Digest“ (сривът възниква, когато се опитвате да изпълните HTTP/2 PUSH операция върху ресурс) . За да блокирате уязвимостта, можете да използвате настройката „H2Push off“.
- — mod_remoteip уязвимост, която ви позволява да подправяте IP адреси по време на прокси чрез mod_remoteip и mod_rewrite. Проблемът се появява само за версии 2.4.1 до 2.4.23.
Най-забележителните промени, които не са свързани със сигурността:
- Поддръжката за черновата на спецификацията е премахната от mod_http2 , чиято промоция е спряна.
- Променено е поведението на директивата „LimitRequestFields“ в mod_http2; посочването на стойност 0 сега деактивира ограничението.
- mod_http2 осигурява обработка на първични и вторични (master/secondary) връзки и маркиране на методите в зависимост от употребата.
- Ако от FCGI/CGI скрипт се получи неправилно съдържание на заглавката Last-Modified, тази заглавка вече се премахва, вместо да се заменя във времето на епохата на Unix.
- Функцията ap_parse_strict_length() е добавена към кода за стриктно анализиране на размера на съдържанието.
- ProxyFCGISetEnvIf на Mod_proxy_fcgi гарантира, че променливите на средата се премахват, ако даденият израз върне False.
- Поправено е състояние на състезание и възможен срив на mod_ssl при използване на клиентски сертификат, указан чрез настройката SSLProxyMachineCertificateFile.
- Коригирано изтичане на памет в mod_ssl.
- mod_proxy_http2 осигурява използването на прокси параметъра "» при проверка на функционалността на нова или повторно използвана връзка към бекенда.
- Спря обвързването на httpd с опцията "-lsystemd", когато mod_systemd е активиран.
- mod_proxy_http2 гарантира, че настройката ProxyTimeout се взема предвид при изчакване на входящи данни чрез връзки към бекенда.
Източник: opennet.ru