lage nan sèvè Apache HTTP 2.4.41 (lage 2.4.40 te sote), ki te prezante epi elimine :
- se yon pwoblèm nan mod_http2 ki ka mennen nan koripsyon memwa lè yo voye demann pouse nan yon etap trè bonè. Lè w ap itilize paramèt "H2PushResource", li posib pou ranplase memwa nan pisin nan pwosesis demann, men pwoblèm nan limite a yon aksidan paske done yo ekri yo pa baze sou enfòmasyon yo resevwa nan men kliyan an;
- - dènye ekspoze DoS vilnerabilite nan aplikasyon HTTP/2.
Yon atakè ka fin itilize memwa ki disponib nan yon pwosesis epi kreye yon chaj CPU lou lè li louvri yon fenèt HTTP/2 glisman pou sèvè a voye done san restriksyon, men kenbe fenèt TCP a fèmen, anpeche done yo aktyèlman ekri nan priz la; - - yon pwoblèm nan mod_rewrite, ki pèmèt ou sèvi ak sèvè a pou voye demann bay lòt resous (redireksyon louvri). Gen kèk paramèt mod_rewrite ki ka lakòz itilizatè a voye yon lòt lyen, kode lè l sèvi avèk yon karaktè newline nan yon paramèt yo itilize nan yon redireksyon ki deja egziste. Pou bloke pwoblèm nan nan RegexDefaultOptions, ou ka itilize drapo PCRE_DOTALL, ki kounye a mete pa default;
- - Kapasite nan fè scripting kwa-sit sou paj erè ki parèt pa mod_proxy. Nan paj sa yo, lyen an gen adrès URL yo jwenn nan demann lan, kote yon atakè ka mete kòd HTML abitrè atravè karaktè chape;
- — pile debòde ak NULL pointeur dereference nan mod_remoteip, eksplwate atravè manipilasyon nan header pwotokòl la PROXY. Atak la kapab fèt sèlman soti nan bò sèvè prokurasyon yo itilize nan anviwònman yo, epi yo pa atravè yon demann kliyan;
- - yon vilnerabilite nan mod_http2 ki pèmèt, nan moman koneksyon koneksyon an, kòmanse lekti sa ki nan yon zòn memwa ki deja libere (li apre gratis).
Chanjman ki pi remakab ki pa sekirite yo se:
- mod_proxy_balancer te amelyore pwoteksyon kont atak XSS/XSRF soti nan kanmarad ou fè konfyans;
- Yo ajoute yon paramèt SessionExpiryUpdateInterval nan mod_session pou detèmine entèval pou mete ajou tan ekspirasyon sesyon/bonbon an;
- Paj ki gen erè yo te netwaye, ki vize a elimine ekspozisyon enfòmasyon nan demann sou paj sa yo;
- mod_http2 pran an kont valè paramèt "LimitRequestFieldSize", ki te deja valab sèlman pou tcheke HTTP/1.1 jaden header;
- Asire ke mod_proxy_hcheck konfigirasyon kreye lè yo itilize nan BalancerMember;
- Redwi konsomasyon memwa nan mod_dav lè w ap itilize kòmand PROPFIND sou yon gwo koleksyon;
- Nan mod_proxy ak mod_ssl, pwoblèm ki genyen ak espesifikasyon sètifika ak SSL anviwònman andedan blòk la Proxy yo te rezoud;
- mod_proxy pèmèt paramèt SSLProxyCheckPeer* aplike nan tout modil proxy;
- Kapasite modil elaji , Ann ankripte pwojè pou otomatize resevwa ak antretyen sètifika yo lè l sèvi avèk pwotokòl ACME (Anviwònman Jesyon Sètifika Otomatik):
- Te ajoute dezyèm vèsyon pwotokòl la , ki se kounye a default la ak demann POST vid olye pou yo GET.
- Te ajoute sipò pou verifikasyon ki baze sou ekstansyon TLS-ALPN-01 (RFC 7301, Negosyasyon Pwotokòl Aplikasyon-Kouch), ki itilize nan HTTP/2.
- Sipò pou metòd verifikasyon 'tls-sni-01' la sispann (akòz ).
- Te ajoute kòmandman pou mete kanpe ak kraze chèk la lè l sèvi avèk metòd 'dns-01' la.
- Te ajoute sipò nan sètifika lè verifikasyon ki baze sou DNS aktive ('dns-01').
- Aplike 'md-status' moun kap okipe ak estati sètifika paj 'https://domain/.httpd/certificate-status'.
- Te ajoute "MDCertificateFile" ak "MDCertificateKeyFile" direktiv pou konfigirasyon paramèt domèn atravè fichye estatik (san sipò oto-aktyalizasyon).
- Te ajoute "MDMessageCmd" direktiv pou rele kòmandman ekstèn lè evènman 'renouvle', 'ekspire' oswa 'erè' rive.
- Te ajoute direktiv "MDWarnWindow" pou konfigirasyon yon mesaj avètisman sou ekspirasyon sètifika;
Sous: opennet.ru
