Die Veröffentlichung des HTTP-Servers Apache 2.4.58 bringt 33 Ănderungen mit sich und behebt drei SicherheitsanfĂ€lligkeiten, von denen zwei mit der Möglichkeit von DoS-Angriffen auf Systeme, die das HTTP/2-Protokoll verwenden, verbunden sind.
- CVE-2023-45802 â möglicherweise lĂ€sst diese Schwachstelle zur Erschöpfung des freien Speichers zu, da der Speicher erst nach dem SchlieĂen der Verbindung freigegeben wird, nachdem ein RST-Flag fĂŒr den HTTP/2-Stream gesendet wurde. Da der Speicher nicht sofort nach der Verarbeitung des RST-Flags freigegeben wird, kann ein Angreifer den Speicherverbrauch erheblich erhöhen, indem er neue Anfragen sendet und diese mit RST-Paketen zurĂŒcksetzt, ohne die Verbindung zu schlieĂen.
- CVE-2023-43622 â eine endlose Blockade bei der Bearbeitung von HTTP/2-Verbindungen, die mit einer anfĂ€nglichen FenstergröĂe von 0 geöffnet wurden. Diese Schwachstelle kann ausgenutzt werden, um einen Dienst zu verweigern, indem das Limit fĂŒr die maximalen gleichzeitigen Verbindungen erschöpft wird.
- CVE-2023-31122 â eine Schwachstelle in mod_macro, die dazu fĂŒhrt, dass Daten aus nicht zugewiesenem Speicher gelesen werden.
Zu den nicht sicherheitsrelevanten Ănderungen:
- Im mod_http2 wurde die UnterstĂŒtzung fĂŒr die Verwendung des WebSocket-Protokolls ĂŒber den Stream in einer HTTP/2-Verbindung (RFC 8441) hinzugefĂŒgt. Um WebSocket ĂŒber HTTP/2 zu aktivieren, wurde die Direktive âH2WebSockets on|offâ vorgeschlagen.
- Im mod_http2 wurde die Direktive âH2EarlyHint name valueâ hinzugefĂŒgt, um Header in der Antwort â103 Early Hintsâ einzufĂŒgen.
- Im mod_http2 wurde die Direktive âH2ProxyRequests on|offâ eingefĂŒhrt, um die Aktivierung der Verarbeitung von Anfragen ĂŒber das HTTP/2-Protokoll in der Proxy-Konfiguration zu steuern.
- Im mod_http2 wurde die Direktive âH2MaxDataFrameLen nâ hinzugefĂŒgt, um die maximale GröĂe des Antwortkörpers in Bytes, die in einem DATA-Frame in HTTP/2 ĂŒbertragen wird, zu begrenzen. Der Standardwert betrĂ€gt 16KB.
- Die Datei mime.types wurde aktualisiert, in der die Erweiterung â.jsâ dem Typ âtext/javascriptâ anstelle von âapplication/javascriptâ zugeordnet wurde. AuĂerdem wurden die Erweiterungen â.mjsâ (mit dem Typ âtext/javascriptâ) und â.opusâ (âaudio/oggâ) hinzugefĂŒgt. MIME-Typen und Erweiterungen, die in WebAssembly verwendet werden, wurden ebenfalls ergĂ€nzt.
- Das Modul mod_tls (eine Alternative zu mod_ssl in Rust) wurde auf die Verwendung der Bibliothek rustls-ffi 0.9.2+ umgestellt.
- Im Modul mod_md wurde die Direktive âMDMatchNames all|servernamesâ hinzugefĂŒgt, um die Zuordnung von MDomains zu den Inhalten der VirtualHosts zu steuern.
- Im mod_md wurde die Direktive 'MDChallengeDns01Version' hinzugefĂŒgt, um die Version des ACME-Protokolls auszuwĂ€hlen, die fĂŒr die DNS-ĂberprĂŒfung verwendet wird.
- Im mod_md wird die Verwendung der Direktive MDChallengeDns01 fĂŒr einzelne EintrĂ€ge erlaubt. DomĂ€nen.
- Im mod_dav wurde die Direktive 'DavBasePath' hinzugefĂŒgt, um den Pfad zum Root-Verzeichnis von WebDav zu konfigurieren.
- Im mod_alias wurde die Direktive 'AliasPreservePath' hinzugefĂŒgt, um den Alias-Wert im Location-Block als vollstĂ€ndigen Pfad zu nutzen.
- Im mod_alias wurde die Direktive 'RedirectRelative' eingefĂŒhrt, die die Umleitung mit relativen Pfaden ermöglicht.
- In die Direktive ErrorLogFormat wurden die Format-Spezifizierer %{z} und %{strftime-format} aufgenommen.
- Im mod_deflate wurde die Direktive 'DeflateAlterETag' hinzugefĂŒgt, um die Ănderung des ETag bei Verwendung von Kompression zu steuern.
- Die Performance der Funktion send_brigade_nonblocking() wurde optimiert.
- Im mod_status wurde die Duplizierung der SchlĂŒssel 'BusyWorkers' und 'IdleWorkers' entfernt, und es wurde ein neuer ZĂ€hler 'GracefulWorkers' hinzugefĂŒgt.
Quelle: opennet.ru
