vydání Apache HTTP serveru 2.4.41 (vydání 2.4.40 bylo přeskočeno), které představilo a vyloučeno :
- je problém v mod_http2, který může vést k poškození paměti při odesílání požadavků push ve velmi rané fázi. Při použití nastavení "H2PushResource" je možné přepsat paměť ve fondu pro zpracování požadavků, ale problém je omezen na selhání, protože zapisovaná data nejsou založena na informacích přijatých od klienta;
- - nedávná expozice Chyby zabezpečení DoS v implementacích HTTP/2.
Útočník může vyčerpat paměť dostupnou procesu a způsobit velké zatížení CPU otevřením posuvného okna HTTP/2 pro server, aby mohl odesílat data bez omezení, ale ponecháním okna TCP zavřeného, čímž zabrání skutečnému zápisu dat do soketu; - - problém v mod_rewrite, který vám umožňuje používat server k předávání požadavků na jiné zdroje (otevřené přesměrování). Některá nastavení mod_rewrite mohou vést k přesměrování uživatele na jiný odkaz zakódovaný pomocí znaku nového řádku v parametru použitém v existujícím přesměrování. Chcete-li problém zablokovat v RegexDefaultOptions, můžete použít příznak PCRE_DOTALL, který je nyní nastaven jako výchozí;
- - schopnost provádět skriptování mezi stránkami na chybových stránkách zobrazených mod_proxy. Na těchto stránkách obsahuje odkaz URL získanou z požadavku, do kterého může útočník vložit libovolný HTML kód pomocí escapování znaků;
- — přetečení zásobníku a dereference ukazatele NULL v mod_remoteip, využité manipulací s hlavičkou protokolu PROXY. Útok lze provést pouze ze strany proxy serveru použitého v nastavení, nikoli prostřednictvím požadavku klienta;
- - zranitelnost v mod_http2, která umožňuje v okamžiku ukončení připojení zahájit čtení obsahu z již uvolněné oblasti paměti (read-after-free).
Nejpozoruhodnější změny netýkající se zabezpečení jsou:
- mod_proxy_balancer zlepšil ochranu proti XSS/XSRF útokům od důvěryhodných kolegů;
- Do mod_session bylo přidáno nastavení SessionExpiryUpdateInterval, které určuje interval aktualizace doby vypršení relace/cookie;
- Stránky s chybami byly vyčištěny s cílem eliminovat zobrazování informací z požadavků na těchto stránkách;
- mod_http2 bere v úvahu hodnotu parametru „LimitRequestFieldSize“, který byl dříve platný pouze pro kontrolu polí záhlaví HTTP/1.1;
- Zajišťuje, že při použití v BalancerMember je vytvořena konfigurace mod_proxy_hcheck;
- Snížená spotřeba paměti v mod_dav při použití příkazu PROPFIND na velké kolekci;
- V mod_proxy a mod_ssl byly vyřešeny problémy s nastavením certifikátu a SSL uvnitř bloku Proxy;
- mod_proxy umožňuje použití nastavení SSLProxyCheckPeer* na všechny moduly proxy;
- Rozšířené možnosti modulu , Projekt Let's Encrypt pro automatizaci příjmu a údržby certifikátů pomocí protokolu ACME (Automatic Certificate Management Environment):
- Přidána druhá verze protokolu , což je nyní výchozí a prázdné požadavky POST namísto GET.
- Přidána podpora ověřování na základě rozšíření TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), které se používá v HTTP/2.
- Podpora ověřovací metody 'tls-sni-01' byla ukončena (z důvodu ).
- Přidány příkazy pro nastavení a přerušení kontroly pomocí metody 'dns-01'.
- Přidána podpora v certifikátech, když je povoleno ověřování založené na DNS ('dns-01').
- Implementován obslužný program 'md-status' a stránka stavu certifikátu 'https://domain/.httpd/certificate-status'.
- Přidány direktivy "MDCertificateFile" a "MDCertificateKeyFile" pro konfiguraci parametrů domény prostřednictvím statických souborů (bez podpory automatických aktualizací).
- Přidána direktiva "MDMessageCmd" pro volání externích příkazů, když nastanou události 'obnovené', 'vypršení platnosti' nebo 'chyba'.
- Přidána direktiva "MDWarnWindow" pro konfiguraci varovné zprávy o vypršení platnosti certifikátu;
Zdroj: opennet.ru