Apache HTTP zerbitzariaren 2.4.41 bertsioa (2.4.40 bertsioa saltatu zen), eta horrek aurkeztu zuen eta ezabatu :
- mod_http2-n dagoen arazo bat da, eta horrek memoria hondatzea ekar dezake push eskaerak oso hasiera batean bidaltzean. "H2PushResource" ezarpena erabiltzean, eskaera prozesatzeko multzoan memoria gainidaztea posible da, baina arazoa hutsegite batera mugatzen da, idazten ari diren datuak ez daudelako bezeroarengandik jasotako informazioan oinarritzen;
- - azken esposizioa DoS ahultasunak HTTP/2 inplementazioetan.
Erasotzaileak prozesu baten eskura dagoen memoria agor dezake eta CPU karga handia sor dezake zerbitzariak mugarik gabe datuak bidal ditzan HTTP/2 leiho irristakorra irekiz, baina TCP leihoa itxita mantenduz, datuak socketean benetan idaztea saihestuz; - - mod_rewrite-n arazo bat, zerbitzaria erabiltzeko aukera ematen dizu eskaerak beste baliabide batzuetara birbidaltzeko (rezuzenbide irekia). Mod_rewrite ezarpen batzuek erabiltzailea beste esteka batera birbidaltzea eragin dezakete, lehendik dagoen birbideratze batean erabiltzen den parametro baten barruan lerro berriko karakterea erabiliz kodetuta. RegexDefaultOptions-en arazoa blokeatzeko, PCRE_DOTALL bandera erabil dezakezu, orain lehenespenez ezarrita dagoena;
- - mod_proxy-k bistaratzen dituen errore-orrietan guneen arteko script-ak egiteko gaitasuna. Orrialde hauetan, estekak eskaeratik lortutako URLa dauka, non erasotzaileak HTML kode arbitrarioa txerta dezake karaktere ihesaren bidez;
- β pila gainezkatzea eta NULL erakuslearen deserreferentzia mod_remoteip-en, PROXY protokoloaren goiburuaren manipulazioaren bidez ustiatua. Erasoa ezarpenetan erabilitako proxy zerbitzariaren aldetik bakarrik egin daiteke, eta ez bezeroen eskaeraren bidez;
- - Mod_http2-n ahultasun bat, konexioa amaitzen den unean, dagoeneko libre dagoen memoria-eremu bateko edukien irakurketa abiaraztea (read-after-free).
Segurtasunaz kanpoko aldaketa nabarmenenak hauek dira:
- mod_proxy_balancer-ek konfiantzazko kideen XSS/XSRF erasoen aurkako babesa hobetu du;
- SessionExpiryUpdateInterval ezarpena mod_session-era gehitu da saioa/cookie-en iraungitze-denbora eguneratzeko tartea zehazteko;
- Akatsak zituzten orriak garbitu ziren, orrialde horietako eskaeretan informazioa bistaratzea ezabatzera zuzenduta;
- mod_http2-k "LimitRequestFieldSize" parametroaren balioa hartzen du, lehenago HTTP/1.1 goiburuko eremuak egiaztatzeko soilik balio zuena;
- BalancerMember-en erabiltzen denean mod_proxy_hcheck konfigurazioa sortzen dela ziurtatzen du;
- Memoria-kontsumoa murriztu da mod_dav-en PROPFIND komandoa bilduma handi batean erabiltzean;
- Mod_proxy eta mod_ssl-n, Proxy blokearen barruan ziurtagiria eta SSL ezarpenak zehazteko arazoak konpondu dira;
- mod_proxy-k SSLProxyCheckPeer* ezarpenak proxy modulu guztietan aplikatzeko aukera ematen du;
- Moduluen gaitasunak zabaldu dira , Let's Encrypt proiektua ziurtagirien jasotzea eta mantentzea automatizatzeko ACME (Automatic Certificate Management Environment) protokoloa erabiliz:
- Protokoloaren bigarren bertsioa gehitu da , gaur egun lehenetsia eta hutsik POST eskaerak GET ordez.
- TLS-ALPN-01 luzapenean (RFC 7301, Application-Layer Protocol Negotiation) oinarritutako egiaztapenerako laguntza gehitu da, HTTP/2-n erabiltzen dena.
- 'tls-sni-01' egiaztapen-metodoaren euskarria eten egin da (ondorioz ).
- 'dns-01' metodoa erabiliz egiaztapena konfiguratzeko eta hausteko komandoak gehitu dira.
- Laguntza gehitu ziurtagirietan DNSn oinarritutako egiaztapena gaituta dagoenean ('dns-01').
- 'md-status' kudeatzailea eta ziurtagiriaren egoera orria 'https://domain/.httpd/certificate-status' inplementatu dira.
- "MDCertificateFile" eta "MDCertificateKeyFile" zuzentarauak gehitu dira domeinu-parametroak fitxategi estatikoen bidez konfiguratzeko (auto-eguneratze-laguntzarik gabe).
- "MDMessageCmd" direktiba gehitu da kanpoko komandoak deitzeko "berritu", "iraungi" edo "errore" gertaerak gertatzen direnean.
- "MDWarnWindow" direktiba gehitu da ziurtagiriaren iraungitzeari buruzko abisu-mezu bat konfiguratzeko;
Iturria: opennet.ru