eldono de la Apache HTTP-servilo 2.4.41 (eldono 2.4.40 estis preterlasita), kiu enkondukis kaj eliminita :
- estas problemo en mod_http2 kiu povas konduki al memorkorupto dum sendado de puŝopetoj en tre frua etapo. Kiam oni uzas la agordon "H2PushResource", eblas anstataŭigi memoron en la peto-pretiga naĝejo, sed la problemo estas limigita al kraŝo ĉar la skribataj datumoj ne baziĝas sur informoj ricevitaj de la kliento;
- - lastatempa malkovro DoS-vundeblecoj en HTTP/2-efektivigoj.
Atakanto povas elĉerpi la memoron haveblan al procezo kaj krei pezan CPU-ŝarĝon malfermante glitan HTTP/2-fenestron por la servilo por sendi datenojn sen restriktoj, sed konservante la TCP-fenestron fermita, malhelpante datumojn de fakte esti skribitaj al la ingo; - - problemo en mod_rewrite, kiu permesas vin uzi la servilon por plusendi petojn al aliaj rimedoj (malferma alidirektilo). Kelkaj mod_rewrite-agordoj povas rezultigi la uzanton esti plusendita al alia ligilo, kodita uzante novlinian signon ene de parametro uzata en ekzistanta alidirektilo. Por bloki la problemon en RegexDefaultOptions, vi povas uzi la flagon PCRE_DOTALL, kiu nun estas agordita defaŭlte;
- - la kapablo fari transretejan skribadon sur erarpaĝoj montrataj de mod_proxy. En ĉi tiuj paĝoj, la ligilo enhavas la URL akiritan de la peto, en kiu atakanto povas enmeti arbitran HTML-kodon per signo-eskapado;
- — staka superfluo kaj NULL-montrilo dereferenco en mod_remoteip, ekspluatita per manipulado de la protokolo-kapo PROXY. La atako nur povas esti farita de la flanko de la prokura servilo uzata en la agordoj, kaj ne per klienta peto;
- - vundebleco en mod_http2, kiu ebligas, en la momento de finiĝo de la konekto, komenci legadon de enhavo el jam liberigita memorareo (postlegebla).
La plej rimarkindaj ne-sekurecaj ŝanĝoj:
- mod_proxy_balancer plibonigis protekton kontraŭ XSS/XSRF-atakoj de fidindaj kunuloj;
- SessionExpiryUpdateInterval agordo estis aldonita al mod_session por determini la intervalon por ĝisdatigi la seanca/kuketo-eksvalidiĝotempo;
- Paĝoj kun eraroj estis purigitaj, celante forigi la montradon de informoj de petoj sur ĉi tiuj paĝoj;
- mod_http2 konsideras la valoron de la parametro "LimitRequestFieldSize", kiu antaŭe validis nur por kontroli HTTP/1.1-kapajn kampojn;
- Certigas, ke mod_proxy_hcheck agordo estas kreita kiam uzata en BalancerMember;
- Reduktita memorkonsumo en mod_dav kiam oni uzas la PROPFIND-komandon en granda kolekto;
- En mod_proxy kaj mod_ssl, problemoj kun specifado de atestilo kaj SSL-agordoj ene de la Prokura bloko estis solvitaj;
- mod_proxy permesas agordojn de SSLProxyCheckPeer* aplikiĝi al ĉiuj prokuraj moduloj;
- Modulaj kapabloj pligrandiĝis , Ni Ĉifri projekton por aŭtomatigi la ricevon kaj prizorgadon de atestiloj uzante la protokolon ACME (Automatic Certificate Management Environment):
- Aldonita dua versio de la protokolo , kiu nun estas la defaŭlta kaj malplenaj POST-petoj anstataŭ GET.
- Aldonita subteno por konfirmo bazita sur la TLS-ALPN-01 etendaĵo (RFC 7301, Application-Layer Protocol Negotiation), kiu estas uzata en HTTP/2.
- Subteno por la konfirmmetodo 'tls-sni-01' estis nuligita (pro ).
- Aldonitaj komandoj por agordi kaj rompi la ĉekon per la metodo 'dns-01'.
- Aldonita subteno en atestiloj kiam DNS-bazita konfirmo estas ebligita ('dns-01').
- Efektivigita 'md-status' pritraktilo kaj atestilstatusa paĝo 'https://domain/.httpd/certificate-status'.
- Aldonitaj "MDCertificateFile" kaj "MDCertificateKeyFile" direktivoj por agordo de domajnaj parametroj per senmovaj dosieroj (sen aŭtomata ĝisdatiga subteno).
- Aldonita "MDMessageCmd" direktivo por voki eksterajn komandojn kiam okazas "renoviĝintaj", "eksvalidiĝantaj" aŭ "eraraj" eventoj.
- Aldonita "MDWarnWindow" direktivo por agordi avertan mesaĝon pri atestila eksvalidiĝo;
fonto: opennet.ru