versión del servidor Apache HTTP 2.4.46 (se omitieron las versiones 2.4.44 y 2.4.45), que introdujo y eliminado :
- — un desbordamiento del búfer en el módulo mod_proxy_uwsgi, que puede provocar una fuga de información o la ejecución de código en el servidor al enviar una solicitud especialmente diseñada. La vulnerabilidad se aprovecha enviando un encabezado HTTP muy largo. Para protección, se ha agregado el bloqueo de encabezados de más de 16 K (un límite definido en la especificación del protocolo).
- — una vulnerabilidad en el módulo mod_http2 que permite que el proceso se bloquee al enviar una solicitud con un encabezado HTTP/2 especialmente diseñado. El problema se manifiesta cuando la depuración o el seguimiento están habilitados en el módulo mod_http2 y se refleja en la corrupción del contenido de la memoria debido a una condición de carrera al guardar información en el registro. El problema no aparece cuando LogLevel está configurado en "info".
- — una vulnerabilidad en el módulo mod_http2 que permite que un proceso falle al enviar una solicitud a través de HTTP/2 con un valor de encabezado 'Cache-Digest' especialmente diseñado (el fallo ocurre al intentar realizar una operación HTTP/2 PUSH en un recurso) . Para bloquear la vulnerabilidad, puede utilizar la configuración "H2Push off".
- — Vulnerabilidad mod_remoteip, que le permite falsificar direcciones IP durante el proxy usando mod_remoteip y mod_rewrite. El problema sólo aparece en las versiones 2.4.1 a 2.4.23.
Los cambios no relacionados con la seguridad más notables son:
- Se ha eliminado la compatibilidad con el borrador de especificación de mod_http2. , cuya promoción ha sido detenida.
- Se modificó el comportamiento de la directiva "LimitRequestFields" en mod_http2; especificar un valor de 0 ahora desactiva el límite.
- mod_http2 proporciona procesamiento de conexiones primarias y secundarias (maestro/secundario) y marcado de métodos según el uso.
- Si se recibe contenido incorrecto del encabezado Última modificación de un script FCGI/CGI, este encabezado ahora se elimina en lugar de reemplazarse en la época de Unix.
- La función ap_parse_strict_length() se ha agregado al código para analizar estrictamente el tamaño del contenido.
- ProxyFCGISetEnvIf de Mod_proxy_fcgi garantiza que las variables de entorno se eliminen si la expresión dada devuelve False.
- Se corrigió una condición de carrera y un posible bloqueo de mod_ssl al usar un certificado de cliente especificado a través de la configuración SSLProxyMachineCertificateFile.
- Se corrigió la pérdida de memoria en mod_ssl.
- mod_proxy_http2 proporciona el uso del parámetro proxy "» al comprobar la funcionalidad de una conexión nueva o reutilizada al backend.
- Se detuvo el enlace de httpd con la opción "-lsystemd" cuando mod_systemd está habilitado.
- mod_proxy_http2 garantiza que la configuración de ProxyTimeout se tenga en cuenta al esperar datos entrantes a través de conexiones al backend.
Fuente: opennet.ru