az Apache HTTP szerver 2.4.46 kiadása (a 2.4.44 és 2.4.45 kiadások kimaradtak), amely bemutatta és megszüntették :
- — puffertúlcsordulás a mod_proxy_uwsgi modulban, amely információszivárgáshoz vagy kódfuttatáshoz vezethet a szerveren egy speciálisan kialakított kérés elküldésekor. A biztonsági rést egy nagyon hosszú HTTP-fejléc küldésével használják ki. A védelem érdekében a 16K-nál hosszabb fejlécek blokkolása került hozzáadásra (a protokoll specifikációjában meghatározott korlát).
- — a mod_http2 modul biztonsági rése, amely lehetővé teszi a folyamat összeomlását egy speciálisan tervezett HTTP/2-fejléccel ellátott kérés elküldésekor. A probléma akkor nyilvánul meg, amikor a hibakeresés vagy nyomkövetés engedélyezve van a mod_http2 modulban, és a memóriatartalom-sérülésben jelenik meg versenyhelyzet miatt az információk naplóba mentésekor. A probléma nem jelenik meg, ha a LogLevel beállítása „info”.
- — a mod_http2 modul biztonsági rése, amely lehetővé teszi a folyamat összeomlását, amikor HTTP/2-n keresztül, speciálisan kialakított „Cache-Digest” fejlécértékkel küldenek kérést (az összeomlás akkor következik be, amikor egy HTTP/2 PUSH műveletet próbálnak végrehajtani egy erőforráson) . A sérülékenység blokkolásához használhatja a „H2Push off” beállítást.
- — mod_remoteip sebezhetőség, amely lehetővé teszi az IP-címek meghamisítását proxykezelés közben a mod_remoteip és a mod_rewrite használatával. A probléma csak a 2.4.1–2.4.23 kiadásoknál jelentkezik.
A legjelentősebb nem biztonsági változások a következők:
- A specifikációvázlat támogatása megszűnt a mod_http2 webhelyről , amelynek promócióját leállítottuk.
- Módosult a "LimitRequestFields" direktíva viselkedése a mod_http2-ben; a 0 érték megadása letiltja a korlátot.
- A mod_http2 biztosítja az elsődleges és másodlagos (fő/másodlagos) kapcsolatok feldolgozását és a metódusok jelölését a felhasználástól függően.
- Ha helytelen Last-Modified fejléctartalom érkezik egy FCGI/CGI-szkriptből, akkor ezt a fejlécet a rendszer eltávolítja, ahelyett, hogy lecserélné a Unix-korszakban.
- Az ap_parse_strict_length() függvény hozzáadásra került a kódhoz, hogy szigorúan elemezze a tartalom méretét.
- A Mod_proxy_fcgi ProxyFCGISetEnvIf-je biztosítja, hogy a környezeti változók eltávolításra kerüljenek, ha az adott kifejezés False értéket ad vissza.
- Kijavítottuk a versenyfeltételt és az esetleges mod_ssl összeomlást az SSLProxyMachineCertificateFile beállításban megadott ügyféltanúsítvány használatakor.
- Memóriaszivárgás javítása a mod_ssl-ben.
- A mod_proxy_http2 a "proxyparaméter" használatát biztosítja» amikor egy új vagy újrahasznált kapcsolat működőképességét ellenőrzi a háttérrendszerrel.
- A httpd összekapcsolása leállt a "-lsystemd" kapcsolóval, ha a mod_systemd engedélyezve van.
- A mod_proxy_http2 biztosítja, hogy a rendszer a ProxyTimeout beállítást figyelembe veszi, amikor a háttérrendszerhez kapcsolódva bejövő adatokra vár.
Forrás: opennet.ru