izdanje Apache HTTP servera 2.4.41 (izdanje 2.4.40 je preskočeno), koje je uvelo i eliminisan :
- je problem u mod_http2 koji može dovesti do oštećenja memorije pri slanju push zahtjeva u vrlo ranoj fazi. Kada koristite postavku "H2PushResource", moguće je prepisati memoriju u spremištu za obradu zahtjeva, ali problem je ograničen na pad jer podaci koji se zapisuju nisu zasnovani na informacijama primljenim od klijenta;
- - nedavno izlaganje DoS ranjivosti u HTTP/2 implementacijama.
Napadač može iscrpiti memoriju dostupnu procesu i stvoriti veliko opterećenje CPU-a otvaranjem kliznog HTTP/2 prozora za server za slanje podataka bez ograničenja, ali držeći TCP prozor zatvorenim, sprječavajući da se podaci stvarno upisuju u socket; - - problem u mod_rewrite, koji vam omogućava da koristite server za prosljeđivanje zahtjeva drugim resursima (otvoreno preusmjeravanje). Neke postavke mod_rewrite mogu dovesti do toga da korisnik bude proslijeđen na drugu vezu, kodiran pomoću znaka novog reda unutar parametra koji se koristi u postojećem preusmjeravanju. Da blokirate problem u RegexDefaultOptions, možete koristiti PCRE_DOTALL zastavicu, koja je sada postavljena po defaultu;
- - mogućnost izvođenja cross-site skriptiranja na stranicama s greškama koje prikazuje mod_proxy. Na ovim stranicama, link sadrži URL dobijen iz zahtjeva, u koji napadač može umetnuti proizvoljni HTML kod kroz izbjegavanje znakova;
- — prekoračenje steka i dereferenciranje NULL pokazivača u mod_remoteip, iskorištavano kroz manipulaciju zaglavljem PROXY protokola. Napad se može izvesti samo sa strane proxy servera koji se koristi u postavkama, a ne putem zahtjeva klijenta;
- - ranjivost u mod_http2 koja omogućava da se u trenutku prekida veze pokrene čitanje sadržaja iz već oslobođene memorijske oblasti (read-after-free).
Najznačajnije promjene koje nisu vezane za sigurnost su:
- mod_proxy_balancer je poboljšao zaštitu od XSS/XSRF napada od pouzdanih kolega;
- SessionExpiryUpdateInterval postavka je dodana mod_session da se odredi interval za ažuriranje vremena isteka sesije/kolačića;
- Stranice sa greškama su očišćene u cilju eliminisanja prikaza informacija sa zahteva na ovim stranicama;
- mod_http2 uzima u obzir vrijednost parametra “LimitRequestFieldSize”, koji je ranije bio važeći samo za provjeru HTTP/1.1 polja zaglavlja;
- Osigurava da je mod_proxy_hcheck konfiguracija kreirana kada se koristi u BalancerMember;
- Smanjena potrošnja memorije u mod_davu kada se koristi naredba PROPFIND na velikoj kolekciji;
- U mod_proxy i mod_ssl problemi sa specificiranjem certifikata i SSL postavki unutar proxy bloka su riješeni;
- mod_proxy omogućava primjenu postavki SSLProxyCheckPeer* na sve proxy module;
- Proširene mogućnosti modula , Let's Encrypt projekat za automatizaciju prijema i održavanja certifikata koristeći ACME (Automatic Certificate Management Environment) protokol:
- Dodata druga verzija protokola , što je sada podrazumevano i prazni POST zahtjevi umjesto GET.
- Dodata podrška za verifikaciju zasnovanu na TLS-ALPN-01 ekstenziji (RFC 7301, Dogovaranje protokola sloja aplikacije), koja se koristi u HTTP/2.
- Podrška za metodu verifikacije 'tls-sni-01' je ukinuta (zbog ).
- Dodane naredbe za postavljanje i probijanje provjere korištenjem 'dns-01' metode.
- Dodata podrška u sertifikatima kada je verifikacija zasnovana na DNS-u omogućena ('dns-01').
- Implementiran 'md-status' rukovalac i stranica statusa certifikata 'https://domain/.httpd/certificate-status'.
- Dodane su "MDCertificateFile" i "MDCertificateKeyFile" direktive za konfiguriranje parametara domene putem statičkih datoteka (bez podrške za automatsko ažuriranje).
- Dodata "MDMessageCmd" direktiva za pozivanje eksternih komandi kada se pojave događaji 'obnovljen', 'ističe' ili 'pogrešili'.
- Dodata "MDWarnWindow" direktiva za konfiguriranje poruke upozorenja o isteku certifikata;
izvor: opennet.ru