Apache HTTP -palvelimen versio 2.4.46 (julkaisut 2.4.44 ja 2.4.45 ohitettiin), joka esitteli ja eliminoitu :
- — puskurin ylivuoto mod_proxy_uwsgi-moduulissa, joka voi johtaa tietovuotoon tai koodin suorittamiseen palvelimella lähetettäessä erityisesti muodostettua pyyntöä. Haavoittuvuutta hyödynnetään lähettämällä erittäin pitkä HTTP-otsikko. Suojauksen vuoksi on lisätty yli 16 kt:n pituisten otsikoiden esto (protokollaspesifikaatiossa määritetty raja).
- — mod_http2-moduulin haavoittuvuus, joka mahdollistaa prosessin kaatumisen, kun pyyntö lähetetään erityisesti suunnitellulla HTTP/2-otsikolla. Ongelma ilmenee, kun virheenkorjaus tai jäljitys on käytössä mod_http2-moduulissa ja johtaa muistin vioittumiseen kilpailutilanteen vuoksi tallennettaessa tietoja lokiin. Ongelma ei ilmene, kun LogLevel-asetuksena on "info".
- — mod_http2-moduulin haavoittuvuus, joka mahdollistaa prosessin kaatumisen, kun pyyntö lähetetään HTTP/2:n kautta erityisesti suunnitellulla Cache-Digest-otsikkoarvolla (kaatumis tapahtuu, kun resurssille yritetään suorittaa HTTP/2 PUSH -toimintoa) . Voit estää haavoittuvuuden käyttämällä "H2Push off" -asetusta.
- — mod_remoteip-haavoittuvuus, jonka avulla voit huijata IP-osoitteita välityspalvelimen käytön aikana käyttämällä mod_remoteip- ja mod_rewrite-toimintoja. Ongelma ilmenee vain julkaisuissa 2.4.1–2.4.23.
Merkittävimmät ei-turvallisuuteen liittyvät muutokset:
- Tuki luonnosmäärittelylle on poistettu mod_http2:sta , jonka mainostaminen on keskeytetty.
- Muuttui "LimitRequestFields"-direktiivin käyttäytymiseen mod_http2:ssa arvon 0 määrittäminen poistaa nyt rajan.
- mod_http2 tarjoaa ensisijaisen ja toissijaisen (isäntä/toissijainen) yhteyksien käsittelyn ja menetelmien merkitsemisen käytön mukaan.
- Jos FCGI/CGI-komentosarjasta vastaanotetaan virheellinen Last-Modified -otsikon sisältö, tämä otsikko poistetaan nyt sen sijaan, että se korvataan Unix-aikakauden aikana.
- Ap_parse_strict_length()-funktio on lisätty koodiin sisällön koon jäsentämiseksi.
- Mod_proxy_fcgi:n ProxyFCGISetEnvIf varmistaa, että ympäristömuuttujat poistetaan, jos annettu lauseke palauttaa False.
- Korjattu kilpailutilanne ja mahdollinen mod_ssl-kaatumis, kun käytettiin SSLProxyMachineCertificateFile-asetuksen kautta määritettyä asiakasvarmennetta.
- Korjattu muistivuoto mod_ssl:ssä.
- mod_proxy_http2 tarjoaa välityspalvelinparametrin "» kun tarkistetaan uuden tai uudelleen käytetyn taustayhteyden toimivuus.
- Lopetettu httpd:n sitominen "-lsystemd"-vaihtoehdolla, kun mod_systemd on käytössä.
- mod_proxy_http2 varmistaa, että ProxyTimeout-asetus otetaan huomioon odotettaessa saapuvaa dataa yhteyksien kautta taustajärjestelmään.
Lähde: opennet.ru