udgivelse af Apache HTTP-serveren 2.4.41 (udgivelse 2.4.40 blev sprunget over), som introducerede og elimineret :
- er et problem i mod_http2, der kan føre til hukommelseskorruption, når du sender push-anmodninger på et meget tidligt tidspunkt. Når du bruger "H2PushResource"-indstillingen, er det muligt at overskrive hukommelsen i anmodningsbehandlingspuljen, men problemet er begrænset til et nedbrud, fordi de data, der skrives, ikke er baseret på information modtaget fra klienten;
- - nylig eksponering DoS-sårbarheder i HTTP/2-implementeringer.
En angriber kan udtømme den tilgængelige hukommelse for en proces og skabe en stor CPU-belastning ved at åbne et glidende HTTP/2-vindue, så serveren kan sende data uden begrænsninger, men holde TCP-vinduet lukket, hvilket forhindrer, at data rent faktisk bliver skrevet til socket; - - et problem i mod_rewrite, som giver dig mulighed for at bruge serveren til at videresende anmodninger til andre ressourcer (åben omdirigering). Nogle mod_rewrite-indstillinger kan resultere i, at brugeren videresendes til et andet link, kodet med et nylinjetegn i en parameter, der bruges i en eksisterende omdirigering. For at blokere problemet i RegexDefaultOptions kan du bruge PCRE_DOTALL-flaget, som nu er indstillet som standard;
- - evnen til at udføre cross-site scripting på fejlsider, der vises af mod_proxy. På disse sider indeholder linket den URL, der er hentet fra anmodningen, hvori en angriber kan indsætte vilkårlig HTML-kode gennem tegn-escape;
- — stak overløb og NULL pointer dereference i mod_remoteip, udnyttet gennem manipulation af PROXY protokol header. Angrebet kan kun udføres fra siden af proxyserveren, der bruges i indstillingerne, og ikke gennem en klientanmodning;
- - en sårbarhed i mod_http2, der tillader, på tidspunktet for forbindelsesafbrydelsen, at starte læsning af indhold fra et allerede frigivet hukommelsesområde (læs-efter-fri).
De mest bemærkelsesværdige ikke-sikkerhedsmæssige ændringer er:
- mod_proxy_balancer har forbedret beskyttelse mod XSS/XSRF-angreb fra betroede peers;
- En SessionExpiryUpdateInterval-indstilling er blevet tilføjet til mod_session for at bestemme intervallet for opdatering af sessionen/cookiens udløbstid;
- Sider med fejl blev renset med det formål at eliminere visning af oplysninger fra anmodninger på disse sider;
- mod_http2 tager højde for værdien af parameteren "LimitRequestFieldSize", som tidligere kun var gyldig til kontrol af HTTP/1.1-headerfelter;
- Sikrer, at mod_proxy_hcheck-konfigurationen oprettes, når den bruges i BalancerMember;
- Reduceret hukommelsesforbrug i mod_dav ved brug af PROPFIND-kommandoen på en stor samling;
- I mod_proxy og mod_ssl er problemer med at specificere certifikat- og SSL-indstillinger inde i Proxy-blokken blevet løst;
- mod_proxy tillader, at SSLProxyCheckPeer*-indstillinger anvendes på alle proxy-moduler;
- Modulets muligheder udvidet , Lad os kryptere projektet for at automatisere modtagelse og vedligeholdelse af certifikater ved hjælp af ACME (Automatic Certificate Management Environment) protokollen:
- Tilføjet anden version af protokollen , som nu er standard og tomme POST-anmodninger i stedet for GET.
- Tilføjet understøttelse af verifikation baseret på TLS-ALPN-01-udvidelsen (RFC 7301, Application-Layer Protocol Negotiation), som bruges i HTTP/2.
- Understøttelse af 'tls-sni-01'-verifikationsmetoden er afbrudt (pga ).
- Tilføjede kommandoer til opsætning og brydning af kontrollen ved hjælp af 'dns-01'-metoden.
- Tilføjet support i certifikater, når DNS-baseret verifikation er aktiveret ('dns-01').
- Implementeret 'md-status'-handler og certifikatstatusside 'https://domain/.httpd/certificate-status'.
- Tilføjet "MDCertificateFile" og "MDCertificateKeyFile" direktiver til konfiguration af domæneparametre gennem statiske filer (uden understøttelse af automatisk opdatering).
- Tilføjet "MDMessageCmd"-direktiv for at kalde eksterne kommandoer, når 'fornyede', 'udløber' eller 'fejlbehæftede' hændelser opstår.
- Tilføjet "MDWarnWindow"-direktiv for at konfigurere en advarselsmeddelelse om certifikatudløb;
Kilde: opennet.ru