Release des HTTP-Servers Apache 2.4.58 mit Behebung von DoS-SicherheitsanfÀlligkeiten in HTTP/2

Die Veröffentlichung des HTTP-Servers Apache 2.4.58 bringt 33 Änderungen mit sich und behebt drei SicherheitsanfĂ€lligkeiten, von denen zwei mit der Möglichkeit von DoS-Angriffen auf Systeme, die das HTTP/2-Protokoll verwenden, verbunden sind.

  • CVE-2023-45802 — möglicherweise lĂ€sst diese Schwachstelle zur Erschöpfung des freien Speichers zu, da der Speicher erst nach dem Schließen der Verbindung freigegeben wird, nachdem ein RST-Flag fĂŒr den HTTP/2-Stream gesendet wurde. Da der Speicher nicht sofort nach der Verarbeitung des RST-Flags freigegeben wird, kann ein Angreifer den Speicherverbrauch erheblich erhöhen, indem er neue Anfragen sendet und diese mit RST-Paketen zurĂŒcksetzt, ohne die Verbindung zu schließen.
  • CVE-2023-43622 — eine endlose Blockade bei der Bearbeitung von HTTP/2-Verbindungen, die mit einer anfĂ€nglichen FenstergrĂ¶ĂŸe von 0 geöffnet wurden. Diese Schwachstelle kann ausgenutzt werden, um einen Dienst zu verweigern, indem das Limit fĂŒr die maximalen gleichzeitigen Verbindungen erschöpft wird.
  • CVE-2023-31122 — eine Schwachstelle in mod_macro, die dazu fĂŒhrt, dass Daten aus nicht zugewiesenem Speicher gelesen werden.

Zu den nicht sicherheitsrelevanten Änderungen:

  • Im mod_http2 wurde die UnterstĂŒtzung fĂŒr die Verwendung des WebSocket-Protokolls ĂŒber den Stream in einer HTTP/2-Verbindung (RFC 8441) hinzugefĂŒgt. Um WebSocket ĂŒber HTTP/2 zu aktivieren, wurde die Direktive ‘H2WebSockets on|off’ vorgeschlagen.
  • Im mod_http2 wurde die Direktive ‘H2EarlyHint name value’ hinzugefĂŒgt, um Header in der Antwort ‚103 Early Hints‘ einzufĂŒgen.
  • Im mod_http2 wurde die Direktive ‘H2ProxyRequests on|off’ eingefĂŒhrt, um die Aktivierung der Verarbeitung von Anfragen ĂŒber das HTTP/2-Protokoll in der Proxy-Konfiguration zu steuern.
  • Im mod_http2 wurde die Direktive ‘H2MaxDataFrameLen n’ hinzugefĂŒgt, um die maximale GrĂ¶ĂŸe des Antwortkörpers in Bytes, die in einem DATA-Frame in HTTP/2 ĂŒbertragen wird, zu begrenzen. Der Standardwert betrĂ€gt 16KB.
  • Die Datei mime.types wurde aktualisiert, in der die Erweiterung ‚.js‘ dem Typ ‚text/javascript‘ anstelle von ‚application/javascript‘ zugeordnet wurde. Außerdem wurden die Erweiterungen ‚.mjs‘ (mit dem Typ ‚text/javascript‘) und ‚.opus‘ (‚audio/ogg‘) hinzugefĂŒgt. MIME-Typen und Erweiterungen, die in WebAssembly verwendet werden, wurden ebenfalls ergĂ€nzt.
  • Das Modul mod_tls (eine Alternative zu mod_ssl in Rust) wurde auf die Verwendung der Bibliothek rustls-ffi 0.9.2+ umgestellt.
  • Im Modul mod_md wurde die Direktive ‚MDMatchNames all|servernames‘ hinzugefĂŒgt, um die Zuordnung von MDomains zu den Inhalten der VirtualHosts zu steuern.
  • Im mod_md wurde die Direktive 'MDChallengeDns01Version' hinzugefĂŒgt, um die Version des ACME-Protokolls auszuwĂ€hlen, die fĂŒr die DNS-ÜberprĂŒfung verwendet wird.
  • Im mod_md wird die Verwendung der Direktive MDChallengeDns01 fĂŒr einzelne EintrĂ€ge erlaubt. DomĂ€nen.
  • Im mod_dav wurde die Direktive 'DavBasePath' hinzugefĂŒgt, um den Pfad zum Root-Verzeichnis von WebDav zu konfigurieren.
  • Im mod_alias wurde die Direktive 'AliasPreservePath' hinzugefĂŒgt, um den Alias-Wert im Location-Block als vollstĂ€ndigen Pfad zu nutzen.
  • Im mod_alias wurde die Direktive 'RedirectRelative' eingefĂŒhrt, die die Umleitung mit relativen Pfaden ermöglicht.
  • In die Direktive ErrorLogFormat wurden die Format-Spezifizierer %{z} und %{strftime-format} aufgenommen.
  • Im mod_deflate wurde die Direktive 'DeflateAlterETag' hinzugefĂŒgt, um die Änderung des ETag bei Verwendung von Kompression zu steuern.
  • Die Performance der Funktion send_brigade_nonblocking() wurde optimiert.
  • Im mod_status wurde die Duplizierung der SchlĂŒssel 'BusyWorkers' und 'IdleWorkers' entfernt, und es wurde ein neuer ZĂ€hler 'GracefulWorkers' hinzugefĂŒgt.

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster