Apache HTTP -palvelimen versio 2.4.41 (julkaisu 2.4.40 ohitettiin), joka esitteli ja eliminoitu :
- on ongelma mod_http2:ssa, joka voi johtaa muistin vioittumiseen lähetettäessä push-pyyntöjä hyvin varhaisessa vaiheessa. "H2PushResource"-asetusta käytettäessä on mahdollista ylikirjoittaa muistia pyyntöjenkäsittelypoolissa, mutta ongelma rajoittuu kaatumiseen, koska kirjoitettavat tiedot eivät perustu asiakkaalta saatuihin tietoihin;
- - viimeaikainen altistuminen DoS-haavoittuvuudet HTTP/2-toteutuksissa.
Hyökkääjä voi kuluttaa prosessin käytettävissä olevan muistin ja aiheuttaa raskaan suorittimen kuormituksen avaamalla liukuvan HTTP/2-ikkunan, jossa palvelin lähettää tietoja ilman rajoituksia, mutta pitää TCP-ikkunan suljettuna, mikä estää tietojen kirjoittamisen pistokkeeseen. - - ongelma mod_rewrite-kohdassa, jonka avulla voit käyttää palvelinta pyyntöjen välittämiseen muille resursseille (avoin uudelleenohjaus). Jotkin mod_rewrite-asetukset voivat johtaa siihen, että käyttäjä ohjataan edelleen toiseen linkkiin, joka on koodattu rivinvaihtomerkillä parametrissa, jota käytetään olemassa olevassa uudelleenohjauksessa. Voit estää ongelman RegexDefaultOptionsissa käyttämällä PCRE_DOTALL-lippua, joka on nyt asetettu oletusarvoisesti.
- - kyky suorittaa sivustojen välistä komentosarjaa mod_proxyn näyttämille virhesivuille. Näillä sivuilla linkki sisältää pyynnöstä saadun URL-osoitteen, johon hyökkääjä voi lisätä mielivaltaisen HTML-koodin merkinpoiston avulla;
- — pinon ylivuoto ja NULL-osoittimen viittaus mod_remoteipissä, joita hyödynnetään käsittelemällä PROXY-protokollan otsikkoa. Hyökkäys voidaan suorittaa vain asetuksissa käytetyn välityspalvelimen puolelta, ei asiakaspyynnön kautta;
- - mod_http2:n haavoittuvuus, joka mahdollistaa sisällön lukemisen jo vapautetulta muistialueelta yhteyden katkaisuhetkellä (read-after-free).
Merkittävimmät ei-turvallisuuteen liittyvät muutokset:
- mod_proxy_balancer on parantanut suojausta luotettujen kumppanien XSS/XSRF-hyökkäyksiä vastaan;
- SessionExpiryUpdateInterval-asetus on lisätty kohtaan mod_session, joka määrittää istunnon/evästeen vanhenemisajan päivitysvälin;
- Virheelliset sivut puhdistettiin, jotta näillä sivuilla olevista pyynnöistä ei näytetä tietoja.
- mod_http2 ottaa huomioon "LimitRequestFieldSize"-parametrin arvon, joka aiemmin oli voimassa vain HTTP/1.1-otsikkokenttien tarkistamiseen;
- Varmistaa, että mod_proxy_hcheck-määritys luodaan, kun sitä käytetään BalancerMemberissa;
- Vähentynyt muistinkulutus mod_dav:ssä käytettäessä PROPFIND-komentoa suuressa kokoelmassa;
- Kohdissa mod_proxy ja mod_ssl ongelmat varmenteen ja SSL-asetusten määrittämisessä Proxy-lohkon sisällä on ratkaistu;
- mod_proxy mahdollistaa SSLProxyCheckPeer*-asetusten soveltamisen kaikkiin välityspalvelinmoduuleihin;
- Moduulien ominaisuuksia on laajennettu , Let's Encrypt -projekti varmenteiden vastaanottamisen ja ylläpidon automatisoimiseksi ACME (Automatic Certificate Management Environment) -protokollalla:
- Lisätty toinen versio protokollasta , joka on nyt oletus- ja tyhjät POST-pyynnöt GET:n sijaan.
- Lisätty tuki vahvistukselle, joka perustuu HTTP/01:ssa käytettävään TLS-ALPN-7301-laajennukseen (RFC 2, Application-Layer Protocol Negotiation).
- tls-sni-01-vahvistusmenetelmän tuki on lopetettu (johtuen ).
- Lisätty komennot dns-01-menetelmällä tehdyn tarkistuksen määrittämiseen ja rikkomiseen.
- Lisätty tuki varmenteissa, kun DNS-pohjainen vahvistus on käytössä ('dns-01').
- Toteutettu "md-status" -käsittelijä ja varmenteen tilasivu "https://domain/.httpd/certificate-status".
- Lisätty "MDCertificateFile"- ja "MDCertificateKeyFile" -käskyt toimialueen parametrien määrittämiseen staattisten tiedostojen avulla (ilman automaattisen päivityksen tukea).
- Lisätty "MDMessageCmd" -direktiivi kutsumaan ulkoisia komentoja, kun "renewed", "expiring" tai "errored" tapahtuvat.
- Lisätty "MDWarnWindow"-direktiivi varmenteen vanhenemisen varoitussanoman määrittämiseksi.
Lähde: opennet.ru