izdanje Apache HTTP poslužitelja 2.4.41 (izdanje 2.4.40 je preskočeno), koji je uveo i eliminiran :
- je problem u mod_http2 koji može dovesti do oštećenja memorije prilikom slanja push zahtjeva u vrlo ranoj fazi. Kada koristite postavku "H2PushResource", moguće je prebrisati memoriju u spremištu za obradu zahtjeva, ali problem je ograničen na pad jer se podaci koji se zapisuju ne temelje na informacijama primljenim od klijenta;
- - nedavno izlaganje DoS ranjivosti u HTTP/2 implementacijama.
Napadač može iscrpiti memoriju dostupnu procesu i stvoriti veliko opterećenje CPU-a otvaranjem kliznog HTTP/2 prozora kako bi poslužitelj slao podatke bez ograničenja, ali držeći TCP prozor zatvorenim, sprječavajući da se podaci stvarno zapisuju u utičnicu; - - problem u mod_rewrite, koji vam omogućuje korištenje poslužitelja za prosljeđivanje zahtjeva drugim resursima (otvoreno preusmjeravanje). Neke postavke mod_rewrite mogu dovesti do toga da korisnik bude proslijeđen na drugu vezu, kodiranu korištenjem znaka novog retka unutar parametra koji se koristi u postojećem preusmjeravanju. Kako biste blokirali problem u RegexDefaultOptions, možete koristiti oznaku PCRE_DOTALL, koja je sada postavljena prema zadanim postavkama;
- - mogućnost izvođenja skriptiranja između stranica na stranicama s pogreškama koje prikazuje mod_proxy. Na tim stranicama poveznica sadrži URL dobiven iz zahtjeva, u koji napadač može umetnuti proizvoljan HTML kod putem izbjegavanja znakova;
- — preljev stoga i dereferencija NULL pokazivača u mod_remoteip, iskorištena kroz manipulaciju zaglavlja PROXY protokola. Napad se može izvesti samo sa strane proxy poslužitelja koji se koristi u postavkama, a ne putem zahtjeva klijenta;
- - ranjivost u mod_http2 koja omogućuje, u trenutku prekida veze, pokretanje čitanja sadržaja iz već oslobođenog memorijskog područja (read-after-free).
Najznačajnije nesigurnosne promjene:
- mod_proxy_balancer ima poboljšanu zaštitu od XSS/XSRF napada od pouzdanih peerova;
- Postavka SessionExpiryUpdateInterval dodana je u mod_session za određivanje intervala za ažuriranje vremena isteka sesije/kolačića;
- Stranice s pogreškama su očišćene, s ciljem eliminiranja prikaza informacija iz zahtjeva na tim stranicama;
- mod_http2 uzima u obzir vrijednost parametra “LimitRequestFieldSize”, koji je prije bio valjan samo za provjeru HTTP/1.1 polja zaglavlja;
- Osigurava kreiranje konfiguracije mod_proxy_hcheck kada se koristi u BalancerMemberu;
- Smanjena potrošnja memorije u mod_dav pri korištenju naredbe PROPFIND na velikoj kolekciji;
- U mod_proxy i mod_ssl problemi s određivanjem postavki certifikata i SSL-a unutar Proxy bloka su riješeni;
- mod_proxy omogućuje primjenu SSLProxyCheckPeer* postavki na sve proxy module;
- Mogućnosti modula proširene , Projekt Let's Encrypt za automatizaciju primanja i održavanja certifikata pomoću ACME (Automatic Certificate Management Environment) protokola:
- Dodana druga verzija protokola , što je sada zadano i prazni POST zahtjevi umjesto GET.
- Dodana podrška za provjeru na temelju TLS-ALPN-01 ekstenzije (RFC 7301, Application-Layer Protocol Negotiation), koja se koristi u HTTP/2.
- Podrška za metodu provjere 'tl-sni-01' je prekinuta (zbog ).
- Dodane naredbe za postavljanje i razbijanje provjere metodom 'dns-01'.
- Dodana podrška u certifikatima kada je omogućena provjera temeljena na DNS-u ('dns-01').
- Implementiran rukovatelj 'md-status' i stranica statusa certifikata 'https://domain/.httpd/certificate-status'.
- Dodane su direktive "MDCertificateFile" i "MDCertificateKeyFile" za konfiguriranje parametara domene putem statičkih datoteka (bez podrške za automatsko ažuriranje).
- Dodana je direktiva "MDMessageCmd" za pozivanje vanjskih naredbi kada se dogode događaji 'obnovljeno', 'isteklo' ili 'pogreška'.
- Dodana direktiva "MDWarnWindow" za konfiguriranje poruke upozorenja o isteku certifikata;
Izvor: opennet.ru
