az Apache HTTP szerver 2.4.41 kiadása (a 2.4.40 kiadás kimaradt), amely bevezette és megszüntették :
- egy probléma a mod_http2-ben, amely memóriasérüléshez vezethet, amikor push kéréseket küldenek nagyon korai szakaszban. A "H2PushResource" beállítás használatakor lehetséges a memória felülírása a kérésfeldolgozási készletben, de a probléma egy összeomlásra korlátozódik, mivel az írandó adatok nem az ügyféltől kapott információkon alapulnak;
- - legutóbbi expozíció DoS biztonsági rések a HTTP/2 implementációkban.
A támadó kimerítheti a folyamatok számára rendelkezésre álló memóriát, és nagy CPU-terhelést idézhet elő, ha megnyit egy csúszó HTTP/2-es ablakot a szerver számára, hogy korlátozások nélkül küldhessen adatokat, de a TCP-ablakot zárva tartva, megakadályozva az adatok tényleges kiírását a socketbe; - - egy probléma a mod_rewrite-ben, amely lehetővé teszi, hogy a szervert kérések továbbítására más erőforrásokhoz (nyílt átirányítás) használja. Egyes mod_rewrite beállítások azt eredményezhetik, hogy a felhasználó egy másik hivatkozásra kerül továbbításra, egy meglévő átirányításban használt paraméteren belüli újsor karakterrel kódolva. A RegexDefaultOptions programban lévő probléma blokkolásához használhatja a PCRE_DOTALL jelzőt, amely alapértelmezés szerint be van állítva;
- - a mod_proxy által megjelenített hibaoldalakon webhelyek közötti parancsfájl végrehajtásának képessége. Ezeken az oldalakon a hivatkozás a kérésből kapott URL-t tartalmazza, amelybe a támadó tetszőleges HTML-kódot illeszthet be karakterkihagyással;
- — verem túlcsordulás és NULL mutató hivatkozás a mod_remoteip-ben, a PROXY protokoll fejlécének manipulálásával kihasználva. A támadást csak a beállításokban használt proxy szerver oldaláról lehet végrehajtani, ügyfélkéréssel nem;
- - a mod_http2 sérülékenysége, amely lehetővé teszi a kapcsolat megszakításakor a tartalom olvasásának kezdeményezését egy már felszabadult memóriaterületről (utána olvasás).
A legjelentősebb nem biztonsági változások a következők:
- A mod_proxy_balancer javított védelmet kínál a megbízható partnerek XSS/XSRF támadásai ellen;
- A SessionExpiryUpdateInterval beállítás hozzáadásra került a mod_sessionhoz, hogy meghatározza a munkamenet/cookie lejárati idejének frissítési időközét;
- A hibás oldalakat megtisztították, hogy kiküszöböljék a kérésekből származó információk megjelenítését ezeken az oldalakon;
- A mod_http2 figyelembe veszi a „LimitRequestFieldSize” paraméter értékét, amely korábban csak a HTTP/1.1 fejlécmezők ellenőrzésére volt érvényes;
- Biztosítja a mod_proxy_hcheck konfiguráció létrehozását, amikor a BalancerMemberben használják;
- Csökkentett memóriafelhasználás a mod_dav-ben, ha a PROPFIND parancsot nagy gyűjteményben használja;
- A mod_proxy és mod_ssl esetén a tanúsítvány és az SSL beállítások megadásával kapcsolatos problémák a Proxy blokkon belül megoldódtak;
- A mod_proxy lehetővé teszi az SSLProxyCheckPeer* beállítások alkalmazását az összes proxymodulra;
- A modul képességei bővültek , Encrypt projekt a tanúsítványok fogadásának és karbantartásának automatizálására az ACME (Automatic Certificate Management Environment) protokoll használatával:
- A protokoll második verziója hozzáadva , amely most az alapértelmezett és üres POST kérések a GET helyett.
- Hozzáadott támogatás a HTTP/01-ben használt TLS-ALPN-7301 kiterjesztésen (RFC 2, Application-Layer Protocol Negotiation) alapuló ellenőrzéshez.
- A „tls-sni-01” ellenőrzési módszer támogatása megszűnt (a ).
- Hozzáadott parancsok az ellenőrzés beállításához és feloldásához a „dns-01” módszerrel.
- Hozzáadott támogatás tanúsítványokban, ha a DNS-alapú ellenőrzés engedélyezve van ('dns-01').
- Megvalósított „md-status” kezelő és „https://domain/.httpd/certificate-status” tanúsítványállapot-oldal.
- Hozzáadott "MDCertificateFile" és "MDCertificateKeyFile" direktívák a tartományi paraméterek statikus fájlokon keresztül történő konfigurálásához (automatikus frissítés támogatása nélkül).
- Hozzáadott "MDMessageCmd" direktíva a külső parancsok meghívásához, amikor "megújított", "lejáró" vagy "hibás" események fordulnak elő.
- "MDWarnWindow" direktíva hozzáadva a tanúsítvány lejártával kapcsolatos figyelmeztető üzenet beállításához;
Forrás: opennet.ru