Релиз http-серверов Lighttpd 1.4.76 и Apache httpd 2.4.59

Опубликован релиз легковесного http-сервера lighttpd 1.4.76, ориентированного на сочетание высокой производительности, безопасности, соответствия стандартам и гибкости настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новой версии:

• Обеспечено выявление совершения атаки «Continuation flood», осуществляемой через отправку на сервер HTTP/2 непрекращающегося потока кадров CONTINUATION без выставления флага END_HEADERS. Утверждается, что данная атака не приводит к отказу в обслуживании lighttpd, но в качестве дополнительной меры добавлено её выявление и отправка ответа GO_AWAY.
• Учтён инцидент с внедрением бэкдора в пакет xz. При создании релизов для сборки зависимостей теперь используется получение кода из Git командой «git archive» с верификацией по тегам релиза и без загрузки готовых архивов с кодом.
• По умолчанию предоставлен встроенный файл mimetype.assign.
• Добавлена поддержка расширения MPTCP (MultiPath TCP), которая не активирована по умолчанию.
• Улучшена поддержка платформ GNU/Hurd и NetBSD 10.
• Сокращено число системных вызовов, совершаемых при подключениях к бэкенду.
• В следующих выпусках планируется выставить TLSv1.3 в качестве минимально поддерживаемой по умолчанию версии протокола TLS (сейчас параметр MinProtocol выставлен в значение TLSv1.2). В будущем обработчик server.error-handler-404 будет ограничен только обработкой ошибок 404 (сейчас обрабатывается как 404, так и 403).

Также можно отметить релиз HTTP-сервера Apache 2.4.59, в котором представлено 21 изменение и устранены три уязвимости:

• CVE-2024-27316 — уязвимость, приводящая к исчерпанию свободной памяти при совершении атаки «Continuation flood».
• CVE-2024-24795, CVE-2023-38709 — возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
• В модуль mod_cgi добавлен параметр CGIScriptTimeout для выставления таймаута выполнения скрипта.
• В mod_xml2enc обеспечена совместимость с libxml2 2.12.0 и более новыми выпусками.
• В mod_ssl для компоновки списков имён удостоверяющих центров при обработке директив SSLCACertificatePath и SSLCADNRequestPath адействованы штатные функции OpenSSL.
• В mod_xml2enc обеспечена обработка XML для любых MIME-типов text/* и XML для исключения повреждения данных в форматах Microsoft OOXML.
• В утилите htcacheclean при указании опций -a/-A реализован перебор всех файлов для каждого подкаталога.
• В mod_ssl в директивах SSLProxyMachineCertificateFile/Path разрешено ссылаться на файлы, содержащий сертификаты удостоверяющих центров.
• В документации к утилитам htpasswd, htdbm и dbmmanage уточнено, что в них используется хэширование, а не шифрование паролей.
• В htpasswd добавлена поддержка обработки хэшей паролей, используя алгоритм SHA-2.
• В mod_env разрешено переопределение системных переменных окружения.
• В mod_ldap реализовано экранирование HTML-данных в заголовке ldap-status.
• В mod_ssl улучшена совместимость с OpenSSL 3 и обеспечено возвращение системе освобождённой памяти.
• В mod_proxy разрешено выставление TTL для настройки времени жизни записи в кэше DNS-ответов.
• В mod_proxy в параметр ProxyRemote добавлена поддержка третьего аргумента, через который можно настроить передаваемые на внешний прокси учётные данные для Basic-аутентификации.

Источник: opennet.ru