ProHoster > Blog > internetske vijesti > Izdanje Apache 2.4.58 http poslužitelja s eliminacijom DoS ranjivosti u HTTP/2

Izdanje Apache 2.4.58 http poslužitelja s eliminacijom DoS ranjivosti u HTTP/2

Objavljeno je izdanje Apache HTTP poslužitelja 2.4.58 koji uvodi 33 promjene i uklanja tri ranjivosti, od kojih se dvije odnose na mogućnost izvođenja DoS napada na sustave koji koriste HTTP/2 protokol.

  • CVE-2023-45802 Stanje iscrpljenosti memorije stvara se zbog odgođenog oslobađanja memorije nakon što je HTTP/2 tok poništen paketom s oznakom RST. Budući da se memorija ne oslobađa odmah nakon obrade RST zastavice, već tek nakon zatvaranja veze, napadač može značajno povećati potrošnju memorije slanjem novih zahtjeva i ispiranjem RST paketom, ali bez zatvaranja veze.
  • CVE-2023-43622 – Obrada HTTP/2 veze blokira se na neodređeno vrijeme ako je otvorena s početnom veličinom kliznog prozora postavljenom na 0. Ranjivost se može koristiti za izazivanje odbijanja usluge prekoračenjem ograničenja maksimalnog dopuštenog broja otvorenih veza.
  • CVE-2023-31122 je ranjivost u mod_macrou koja dopušta čitanje podataka iz područja izvan dodijeljenog međuspremnika.

Među promjenama koje nisu sigurnosne:

  • mod_http2 dodaje podršku za korištenje WebSocket protokola preko streama u HTTP/2 vezi (RFC 8441). Da biste omogućili WebSocket preko HTTP/2, predložena je direktiva 'H2WebSockets on|off'.
  • Dodana je direktiva 'H2EarlyHint name value' u mod_http2 za dodavanje zaglavlja u odgovor "103 Early Hints".
  • Dodana 'H2ProxyRequests on|off' direktiva mod_http2 za kontrolu je li obrada HTTP/2 zahtjeva omogućena u proxy konfiguraciji.
  • Direktiva 'H2MaxDataFrameLen n' dodana je u mod_http2 kako bi se ograničila maksimalna veličina tijela odgovora u bajtovima koji se prenose u jednom DATA okviru u HTTP/2. Zadano ograničenje je 16KB.
  • Ažurirana je datoteka mime.types, u kojoj je ekstenzija ".js" vezana za vrstu 'text/javascript' umjesto 'application/javascript' i dodane su ekstenzije: ".mjs" (s vrstom 'text/javascript' ) i ".opus" ('audio/ogg'). Dodane MIME vrste i ekstenzije koje se koriste u WebAssemblyju.
  • Modul mod_tls (alternativa mod_ssl u jeziku Rust) preveden je za korištenje biblioteke rustls-ffi 0.9.2+.
  • Modulu mod_md dodana je direktiva 'MDMatchNames all|servernames' za kontrolu načina na koji se MDomains podudaraju sa sadržajem VirtualHosts.
  • Direktiva 'MDChallengeDns01Version' dodana je modulu mod_md za odabir verzije ACME protokola koja se koristi za provjeru DNS-a.
  • mod_md dopušta korištenje MDChallengeDns01 direktive za pojedinačne domene.
  • Dodana je direktiva 'DavBasePath' u mod_dav za konfiguraciju staze do korijena WebDav repozitorija.
  • Dodana je direktiva 'AliasPreservePath' u mod_alias za korištenje vrijednosti Alias ​​​​u bloku Location kao pune staze.
  • Dodana je direktiva 'RedirectRelative' u mod_alias, dopuštajući preusmjeravanje korištenjem relativnih staza.
  • Specifikatori formata %{z} i %{strftime-format} dodani su direktivi ErrorLogFormat.
  • Dodana je direktiva 'DeflateAlterETag' u mod_deflate za kontrolu kako se ETag mijenja kada se koristi kompresija.
  • Izvedba funkcije send_brigade_nonblocking() je optimizirana.
  • Mod_status osigurava uklanjanje dupliciranih ključeva "BusyWorkers" i "IdleWorkers" i dodavanje novog brojača "GracefulWorkers".

Izvor: opennet.ru

Dodajte komentar