udgivelse af Apache HTTP-serveren 2.4.41 (udgivelse 2.4.40 blev sprunget over), som introducerede og elimineret :
- - Der er et problem i mod_http2, der kan føre til hukommelseskorruption, når der sendes push-anmodninger på et meget tidligt stadie. Når indstillingen "H2PushResource" bruges, er det muligt at overskrive et hukommelsesområde i anmodningsbehandlingspuljen, men problemet er begrænset til et nedbrud, fordi de data, der skrives, ikke er baseret på oplysninger modtaget fra klienten;
- - eksponering for nylig DoS-sårbarheder i HTTP/2-implementeringer.
En angriber kan udtømme den tilgængelige hukommelse i en proces og skabe en stor belastning på CPU'en ved at åbne HTTP/2-skydevinduet, så serveren kan sende data uden begrænsninger, men holde TCP-vinduet lukket, hvilket forhindrer, at data rent faktisk bliver skrevet til socket; - — et problem i mod_rewrite, der tillader serveren at blive brugt til at videresende anmodninger til andre ressourcer (åben omdirigering). Nogle mod_rewrite-indstillinger kan resultere i, at brugeren omdirigeres til et andet link, der er kodet med et linjeskifttegn inde i en parameter, der bruges i en eksisterende omdirigering. For at blokere problemet kan du bruge PCRE_DOTALL-flaget i RegexDefaultOptions, som nu er indstillet som standard;
- — evnen til at udføre cross-site scripting på fejlsider, der udlæses af mod_proxy. På disse sider erstattes URL'en fra anmodningen i linket, hvor en angriber kan erstatte vilkårlig HTML-kode ved at escape-tegn;
- - stakoverløb og NULL-pointer-dereference i mod_remoteip, udnyttet gennem manipulation af PROXY-protokolheaderen. Angrebet kan kun udføres fra den proxyserver, der bruges i indstillingerne, og ikke via en klientanmodning;
- — en sårbarhed i mod_http2, der tillader, i det øjeblik forbindelsen afbrydes, at starte læsning af indhold fra et allerede frigjort hukommelsesområde (læs-efter-frigørelse).
De mest bemærkelsesværdige ikke-sikkerhedsmæssige ændringer er:
- mod_proxy_balancer er blevet styrket til at give beskyttelse mod XSS/XSRF-angreb fra betroede noder;
- Tilføjet SessionExpiryUpdateInterval-indstilling til mod_session for at definere intervallet for opdatering af session/cookie-udløbstid;
- Der blev udført en oprydning af fejlsider med det formål at eliminere output af information fra forespørgsler på disse sider;
- mod_http2 tager nu højde for værdien af parameteren "LimitRequestFieldSize", som tidligere kun fungerede til at kontrollere HTTP/1.1-header-felter;
- Sikret oprettelse af mod_proxy_hcheck-konfiguration ved brug i BalancerMember;
- Reduceret hukommelsesforbrug i mod_dav ved brug af PROPFIND på en stor samling;
- I mod_proxy og mod_ssl er problemer med at angive certifikat- og SSL-indstillinger i proxyblokken blevet løst;
- mod_proxy tillader, at SSLProxyCheckPeer*-indstillingerne anvendes på alle proxy-moduler;
- Modulets muligheder udvidet , Lad os kryptere projektet for at automatisere anskaffelse og vedligeholdelse af certifikater ved hjælp af ACME-protokollen (Automatic Certificate Management Environment):
- Den anden version af protokollen er blevet tilføjet , som nu anvendes som standard og tomme POST-anmodninger i stedet for GET.
- Tilføjet understøttelse af verifikation baseret på TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), som bruges i HTTP/2.
- Verifikationsmetoden 'tls-sni-01' er blevet afbrudt (pga ).
- Tilføjede kommandoer til at konfigurere og bryde 'dns-01'-metodekontrollen.
- Tilføjet support i certifikater, når DNS-baseret verifikation er aktiveret ('dns-01').
- Implementeret handler 'md-status' og side med certifikatstatus "https://domain/.httpd/certificate-status".
- Tilføjet "MDCertificateFile" og "MDCertificateKeyFile" direktiver til konfiguration af domæneparametre via statiske filer (uden understøttelse af automatisk opdatering).
- Tilføjet "MDMessageCmd"-direktiv for at kalde eksterne kommandoer, når 'fornyede', 'udløber' eller 'fejlbehæftede' hændelser opstår.
- Tilføjet "MDWarnWindow"-direktiv for at konfigurere advarselsmeddelelsen om certifikatudløb;
Kilde: opennet.ru
