Apache HTTP serveri versioon 2.4.41 (väljalase 2.4.40 jäeti vahele), mis tutvustas ja kõrvaldatud :
- on mod_http2 probleem, mis võib tõukepäringute saatmisel väga varajases staadiumis põhjustada mälu rikkumist. Seadistuse "H2PushResource" kasutamisel on võimalik päringu töötlemise kogumis mälu üle kirjutada, kuid probleem piirdub krahhiga, kuna kirjutatavad andmed ei põhine kliendilt saadud teabel;
- - hiljutine kokkupuude DoS-i haavatavused HTTP/2 juurutustes.
Ründaja võib protsessi jaoks saadaoleva mälu ammendada ja tekitada suure protsessori koormuse, avades libiseva HTTP/2 akna, et server saaks piiranguteta andmeid saata, kuid hoiab TCP-akna suletuna, mis takistab andmete tegelikku pesasse kirjutamist; - - probleem mod_rewrite'is, mis võimaldab serverit kasutada päringute edastamiseks teistele ressurssidele (avatud ümbersuunamine). Mõned mod_rewrite sätted võivad põhjustada selle, et kasutaja suunatakse edasi teisele lingile, mis on kodeeritud reavahetusmärgi abil olemasoleva ümbersuunamise parameetris. Probleemi blokeerimiseks rakenduses RegexDefaultOptions saate kasutada lippu PCRE_DOTALL, mis on nüüd vaikimisi seatud;
- - võimalus teostada saidiülest skriptimist vealehtedel, mida kuvab mod_proxy. Nendel lehtedel sisaldab link päringust saadud URL-i, millesse ründaja saab sisestada suvalise HTML-koodi läbi tähemärki;
- — pinu ületäitumine ja NULL-osuti viide failis mod_remoteip, mida kasutatakse PROXY-protokolli päise manipuleerimise kaudu. Rünnaku saab läbi viia ainult seadetes kasutatava puhverserveri poolelt, mitte kliendi päringu kaudu;
- - mod_http2 haavatavus, mis võimaldab ühenduse katkestamise hetkel alustada sisu lugemist juba vabastatud mälupiirkonnast (järellugemine-vaba).
Kõige olulisemad turvalisusega mitteseotud muudatused on järgmised:
- mod_proxy_balancer on täiustanud kaitset usaldusväärsete partnerite XSS/XSRF rünnakute vastu;
- Seansi/küpsise aegumise aja värskendamise intervalli määramiseks on jaotisele mod_session lisatud säte SessionExpiryUpdateInterval;
- Vigadega lehed puhastati, et välistada nende lehtede päringutest teabe kuvamine;
- mod_http2 võtab arvesse parameetri “LimitRequestFieldSize” väärtust, mis varem kehtis ainult HTTP/1.1 päiseväljade kontrollimiseks;
- Tagab, et BalancerMemberis kasutamisel luuakse mod_proxy_hcheck konfiguratsioon;
- Vähendatud mälutarbimine mod_dav-s, kui kasutate käsku PROPFIND suures kogus;
- Mod_proxy ja mod_ssl puhul on puhverserveri ploki sees sertifikaadi ja SSL-i sätete määramisega seotud probleemid lahendatud;
- mod_proxy võimaldab SSLProxyCheckPeer* sätteid rakendada kõikidele puhverserveri moodulitele;
- Mooduli võimalused on laienenud , Krüpteerime projekti sertifikaatide vastuvõtmise ja hoolduse automatiseerimiseks ACME (Automatic Certificate Management Environment) protokolli abil:
- Lisatud on protokolli teine versioon , mis on nüüd vaikimisi ja tühjad POST-päringud GET-i asemel.
- Lisatud on kinnituse tugi TLS-ALPN-01 laiendusel (RFC 7301, Application-Layer Protocol Negotiation), mida kasutatakse HTTP/2-s.
- Kinnitusmeetodi 'tls-sni-01' tugi on peatatud (põhjuseks ).
- Lisatud käsud dns-01 meetodi abil kontrolli seadistamiseks ja katkestamiseks.
- Lisatud tugi sertifikaatides, kui DNS-põhine kinnitamine on lubatud ('dns-01').
- Rakendatud "md-status" töötleja ja sertifikaadi oleku leht "https://domain/.httpd/certificate-status".
- Lisatud "MDCertificateFile" ja "MDCertificateKeyFile" direktiivid domeeni parameetrite konfigureerimiseks staatiliste failide kaudu (ilma automaatse värskenduse toeta).
- Lisatud "MDMessageCmd" direktiiv väliste käskude kutsumiseks, kui ilmnevad "uuendatud", "aeguvad" või "vigased" sündmused.
- Lisatud "MDWarnWindow" direktiiv, et konfigureerida hoiatusteade sertifikaadi aegumise kohta;
Allikas: opennet.ru