rhyddhau gweinydd Apache HTTP 2.4.46 (hepgorwyd datganiadau 2.4.44 a 2.4.45), a gyflwynodd a dileu :
- β gorlif byffer yn y modiwl mod_proxy_uwsgi, a all arwain at ollwng gwybodaeth neu weithredu cod ar y gweinydd wrth anfon cais a luniwyd yn arbennig. Mae'r bregusrwydd yn cael ei ecsbloetio trwy anfon pennawd HTTP hir iawn. Er mwyn amddiffyn, mae blocio penawdau sy'n hirach na 16K wedi'i ychwanegu (terfyn a ddiffinnir ym manyleb y protocol).
- β gwendid yn y modiwl mod_http2 sy'n caniatΓ‘u i'r broses chwalu wrth anfon cais gyda phennawd HTTP/2 wedi'i ddylunio'n arbennig. Mae'r broblem yn amlygu ei hun pan fydd dadfygio neu olrhain wedi'i alluogi yn y modiwl mod_http2 ac mae'n arwain at lygredd cof oherwydd cyflwr hil wrth arbed gwybodaeth i'r log. Nid yw'r broblem yn ymddangos pan fydd LogLevel wedi'i osod i βinfoβ.
- β bregusrwydd yn y modiwl mod_http2 sy'n caniatΓ‘u i broses chwalu wrth anfon cais trwy HTTP/2 gyda gwerth pennawd 'Cache-Digest' a ddyluniwyd yn arbennig (mae'r ddamwain yn digwydd wrth geisio perfformio gweithrediad HTTP/2 PUSH ar adnodd) . I rwystro'r bregusrwydd, gallwch ddefnyddio'r gosodiad βH2Push offβ.
- β bregusrwydd mod_remoteip, sy'n eich galluogi i ffugio cyfeiriadau IP wrth ddirprwyo gan ddefnyddio mod_remoteip a mod_rewrite. Dim ond ar gyfer datganiadau 2.4.1 i 2.4.23 y mae'r broblem yn ymddangos.
Y newidiadau mwyaf nodedig nad ydynt yn ymwneud Γ’ diogelwch yw:
- Mae cefnogaeth i fanyleb ddrafft wedi'i dileu o mod_http2 , y mae ei ddyrchafiad wedi'i atal.
- Wedi newid ymddygiad y gyfarwyddeb "LimitRequestFields" yn mod_http2; mae pennu gwerth o 0 bellach yn analluogi'r terfyn.
- Mae mod_http2 yn darparu prosesu cysylltiadau cynradd ac uwchradd (meistr/eilaidd) a marcio dulliau yn dibynnu ar y defnydd.
- Os derbynnir cynnwys pennawd anghywir a Addaswyd ddiwethaf o sgript FCGI/CGI, mae'r pennyn hwn bellach yn cael ei ddileu yn hytrach na'i ddisodli yn amser Unix.
- Mae'r swyddogaeth ap_parse_strict_length() wedi'i ychwanegu at y cod i ddosrannu maint y cynnwys yn llym.
- Mae ProxyFCGISetEnvIf Mod_proxy_fcgi yn sicrhau bod newidynnau amgylchedd yn cael eu dileu os yw'r mynegiad a roddir yn dychwelyd Gau.
- Wedi trwsio cyflwr rasio a damwain mod_ssl posib wrth ddefnyddio tystysgrif cleient a nodir trwy'r gosodiad SSLProxyMachineCertificateFile.
- Gollyngiad cof sefydlog yn mod_ssl.
- mod_proxy_http2 yn darparu'r defnydd o'r paramedr dirprwy "Β» wrth wirio ymarferoldeb cysylltiad newydd neu gysylltiad a ailddefnyddir i'r backend.
- Wedi stopio rhwymo httpd gyda'r opsiwn "-lsystemd" pan fydd mod_systemd wedi'i alluogi.
- mod_proxy_http2 yn sicrhau bod y gosodiad ProxyTimeout yn cael ei ystyried wrth aros am ddata sy'n dod i mewn trwy gysylltiadau Γ’'r backend.
Ffynhonnell: opennet.ru