rhyddhau gweinydd Apache HTTP 2.4.41 (hepgorwyd rhyddhau 2.4.40), a gyflwynodd a dileu :
- yn broblem yn mod_http2 a all arwain at lygredd cof wrth anfon ceisiadau gwthio yn gynnar iawn. Wrth ddefnyddio'r gosodiad "H2PushResource", mae'n bosibl trosysgrifo cof yn y pwll prosesu ceisiadau, ond mae'r broblem yn gyfyngedig i ddamwain oherwydd nad yw'r data sy'n cael ei ysgrifennu yn seiliedig ar wybodaeth a dderbyniwyd gan y cleient;
- - amlygiad diweddar Gwendidau DoS mewn gweithrediadau HTTP/2.
Gall ymosodwr wacáu'r cof sydd ar gael i broses a chreu llwyth CPU trwm trwy agor ffenestr llithro HTTP/2 i'r gweinydd anfon data heb gyfyngiadau, ond cadw'r ffenestr TCP ar gau, gan atal data rhag cael ei ysgrifennu i'r soced mewn gwirionedd; - - problem yn mod_rewrite, sy'n eich galluogi i ddefnyddio'r gweinydd i anfon ceisiadau ymlaen at adnoddau eraill (ailgyfeirio agored). Gall rhai gosodiadau mod_rewrite arwain at y defnyddiwr yn cael ei anfon ymlaen i ddolen arall, wedi'i amgodio gan ddefnyddio nod llinell newydd o fewn paramedr a ddefnyddir mewn ailgyfeiriad sy'n bodoli eisoes. I rwystro'r broblem yn RegexDefaultOptions, gallwch ddefnyddio'r faner PCRE_DOTALL, sydd bellach wedi'i gosod yn ddiofyn;
- - y gallu i berfformio sgriptio traws-safle ar dudalennau gwall a ddangosir gan mod_proxy. Ar y tudalennau hyn, mae'r ddolen yn cynnwys yr URL a gafwyd o'r cais, lle gall ymosodwr fewnosod cod HTML mympwyol trwy gymeriad yn dianc;
- — gorlif pentwr a dadgyfeiriad pwyntydd NULL yn mod_remoteip, a ecsbloetiwyd trwy drin pennyn protocol PROXY. Dim ond o ochr y gweinydd dirprwy a ddefnyddir yn y gosodiadau y gellir cynnal yr ymosodiad, ac nid trwy gais cleient;
- - bregusrwydd yn mod_http2 sy'n caniatáu, ar adeg terfynu'r cysylltiad, i ddechrau darllen cynnwys o ardal cof sydd eisoes wedi'i rhyddhau (darllen ar ôl rhad ac am ddim).
Y newidiadau mwyaf nodedig nad ydynt yn ymwneud â diogelwch yw:
- mod_proxy_balancer wedi gwella amddiffyniad rhag ymosodiadau XSS/XSRF gan gyfoedion dibynadwy;
- Mae gosodiad SessionExpiryUpdateInterval wedi'i ychwanegu at mod_session i bennu'r egwyl ar gyfer diweddaru amser dod i ben y sesiwn/cwci;
- Cafodd tudalennau â gwallau eu glanhau, gyda'r nod o ddileu arddangos gwybodaeth o geisiadau ar y tudalennau hyn;
- Mae mod_http2 yn ystyried gwerth y paramedr “LimitRequestFieldSize”, a oedd yn flaenorol yn ddilys yn unig ar gyfer gwirio meysydd pennawd HTTP/1.1;
- Yn sicrhau bod cyfluniad mod_proxy_hcheck yn cael ei greu pan gaiff ei ddefnyddio yn BalancerMember;
- Llai o ddefnydd cof yn mod_dav wrth ddefnyddio'r gorchymyn PROPFIND ar gasgliad mawr;
- Yn mod_proxy a mod_ssl, mae problemau gyda phennu gosodiadau tystysgrif a SSL y tu mewn i'r bloc Dirprwy wedi'u datrys;
- mod_proxy yn caniatáu i osodiadau SSLProxyCheckPeer* gael eu cymhwyso i bob modiwl dirprwy;
- Ehangu galluoedd modiwl , Prosiect Let's Encrypt i awtomeiddio derbyn a chynnal tystysgrifau gan ddefnyddio'r protocol ACME (Amgylchedd Rheoli Tystysgrifau Awtomatig):
- Ychwanegwyd ail fersiwn o'r protocol , sydd bellach yn rhagosodedig a ceisiadau POST gwag yn lle GET.
- Ychwanegwyd cefnogaeth ar gyfer dilysu yn seiliedig ar estyniad TLS-ALPN-01 (RFC 7301, Negodi Protocol Haen-Cais), a ddefnyddir yn HTTP/2.
- Mae cefnogaeth ar gyfer y dull dilysu 'tls-sni-01' wedi dod i ben (oherwydd ).
- Ychwanegwyd gorchmynion ar gyfer sefydlu a thorri'r siec gan ddefnyddio'r dull 'dns-01'.
- Cefnogaeth ychwanegol mewn tystysgrifau pan fydd dilysu sy'n seiliedig ar DNS wedi'i alluogi ('dns-01').
- Gweithredwyd triniwr 'md-status' a thudalen statws tystysgrif 'https://domain/.httpd/certificate-status'.
- Ychwanegwyd cyfarwyddebau "MDCertificateFile" a "MDCertificateKeyFile" ar gyfer ffurfweddu paramedrau parth trwy ffeiliau statig (heb gefnogaeth diweddaru awtomatig).
- Ychwanegwyd cyfarwyddeb "MDMessageCmd" i alw gorchmynion allanol pan fydd digwyddiadau 'adnewyddu', 'dod i ben' neu 'gwallau' yn digwydd.
- Ychwanegwyd cyfarwyddeb "MDWarnWindow" i ffurfweddu neges rhybudd ynghylch diwedd tystysgrif;
Ffynhonnell: opennet.ru
