Publicouse o lanzamento do servidor Apache HTTP 2.4.58, que introduce 33 cambios e elimina tres vulnerabilidades, dúas delas relacionadas coa posibilidade de realizar un ataque DoS a sistemas mediante o protocolo HTTP/2.
- CVE-2023-45802 Créase unha condición de esgotamento da memoria debido a unha desasignación de memoria atrasada despois de que un fluxo HTTP/2 se restableza mediante un paquete coa marca RST. Dado que a memoria non se libera inmediatamente despois de procesarse a marca RST, senón só despois de pechar a conexión, un atacante pode aumentar significativamente o consumo de memoria enviando novas solicitudes e lavándoas cun paquete RST, pero sen pechar a conexión.
- CVE-2023-43622: o procesamento de conexión HTTP/2 bloquea indefinidamente se se abriu co tamaño inicial da xanela deslizante definido en 0. A vulnerabilidade pódese utilizar para provocar unha denegación de servizo superando o límite do número máximo permitido de conexións abertas.
- CVE-2023-31122 é unha vulnerabilidade en mod_macro que permite ler datos desde unha área fóra do búfer asignado.
Entre os cambios non relacionados coa seguridade:
- mod_http2 engade compatibilidade para usar o protocolo WebSocket nun fluxo nunha conexión HTTP/2 (RFC 8441). Para habilitar WebSocket sobre HTTP/2, propúxose a directiva 'H2WebSockets on|off'.
- Engadiuse a directiva "H2EarlyHint name value" a mod_http2 para engadir cabeceiras á resposta "103 Early Hints".
- Engadiuse a directiva "H2ProxyRequests on|off" a mod_http2 para controlar se o procesamento de solicitudes HTTP/2 está habilitado na configuración do proxy.
- A directiva "H2MaxDataFrameLen n" engadiuse a mod_http2 para limitar o tamaño máximo do corpo da resposta en bytes transmitidos nunha trama DATA en HTTP/2. O límite predeterminado é 16 KB.
- Actualizouse o ficheiro mime.types para vincular a extensión ".js" ao tipo "text/javascript" en lugar de "application/javascript" e engadiu as seguintes extensións: ".mjs" (co tipo "text/javascript") e " .opus" ( 'audio/ogg'). Engadidos tipos MIME e extensións usadas en WebAssembly.
- O módulo mod_tls (unha alternativa a mod_ssl na linguaxe Rust) foi traducido para usar a biblioteca rustls-ffi 0.9.2+.
- Engadiuse a directiva "MDMatchNames all|servernames" ao módulo mod_md para controlar como se relacionan os MDomains cos contidos de VirtualHosts.
- A directiva 'MDChallengeDns01Version' engadiuse ao módulo mod_md para seleccionar a versión do protocolo ACME utilizada para a verificación de DNS.
- mod_md permite o uso da directiva MDChallengeDns01 para dominios individuais.
- Engadiuse a directiva "DavBasePath" a mod_dav para configurar o camiño á raíz do repositorio WebDav.
- Engadiuse a directiva "AliasPreservePath" a mod_alias para usar o valor de Alias no bloque Localización como ruta completa.
- Engadiuse a directiva "RedirectRelative" a mod_alias, que permite a redirección mediante camiños relativos.
- Engadíronse os especificadores de formato %{z} e %{strftime-format} á directiva ErrorLogFormat.
- Engadiuse a directiva 'DeflateAlterETag' a mod_deflate para controlar como cambia ETag cando se usa a compresión.
- Optimizouse o rendemento da función send_brigade_nonblocking().
- Mod_status garante que se eliminen as chaves duplicadas "BusyWorkers" e "IdleWorkers" e que se engade un novo contador "GracefulWorkers".
Fonte: opennet.ru