Megjelent az Apache HTTP szerver 2.4.58 kiadása, amely 33 változtatást vezet be és három sebezhetőséget szüntet meg, amelyek közül kettő a HTTP/2 protokollt használó rendszerek elleni DoS támadás végrehajtásának lehetőségével kapcsolatos.
- CVE-2023-45802 Memóriakimerülési állapot jön létre a késleltetett memóriafelszabadítás miatt, miután egy HTTP/2 adatfolyamot egy RST jelzővel rendelkező csomag alaphelyzetbe állított. Mivel a memória nem azonnal az RST jelző feldolgozása után szabadul fel, hanem csak a kapcsolat lezárása után, a támadó jelentősen növelheti a memóriafelhasználást új kérések küldésével és egy RST-csomaggal történő kiürítésével, de a kapcsolat megszakítása nélkül.
- CVE-2023-43622 – HTTP/2 kapcsolatfeldolgozási blokkok korlátlan ideig, ha a kezdeti csúszóablak 0-ra állítva lett megnyitva. A biztonsági rés szolgáltatásmegtagadást idézhet elő a nyitott kapcsolatok maximális megengedett számának túllépésével.
- A CVE-2023-31122 a mod_macro biztonsági rése, amely lehetővé teszi adatok olvasását a lefoglalt pufferen kívüli területről.
A nem biztonsági változtatások közül:
- A mod_http2 támogatja a WebSocket protokoll folyamon keresztüli használatát HTTP/2 kapcsolaton (RFC 8441). A HTTP/2-n keresztüli WebSocket engedélyezéséhez a „H2WebSockets on|off” direktíva javasolt.
- A „H2EarlyHint name value” direktíva hozzáadva a mod_http2-hez, hogy fejléceket adjon a „103 Early Hints” válaszhoz.
- A 'H2ProxyRequests on|off' direktíva hozzáadva a mod_http2-hez, hogy szabályozza, hogy a HTTP/2 kérésfeldolgozás engedélyezve van-e a proxykonfigurációban.
- A „H2MaxDataFrameLen n” direktíva hozzáadásra került a mod_http2-hez, hogy korlátozza a választörzs maximális méretét bájtokban, amelyeket egy DATA keretben továbbítanak a HTTP/2-ben. Az alapértelmezett korlát 16 KB.
- Frissítettük a mime.types fájlt, amelyben a „.js” kiterjesztés a „text/javascript” típushoz van kötve „application/javascript” helyett, és hozzáadta a „.mjs” kiterjesztést (a „text/javascript” típussal ) és ".opus" ('audio/ogg'). A WebAssemblyben használt MIME-típusok és -kiterjesztések hozzáadva.
- A mod_tls modul (a mod_ssl alternatívája a Rust nyelvben) a rustls-ffi 0.9.2+ könyvtár használatára lett fordítva.
- Az 'MDMatchNames all|servernames' direktíva hozzáadva a mod_md modulhoz annak vezérlésére, hogy az MDomains hogyan illeszkedjen a VirtualHosts tartalmaihoz.
- Az 'MDChallengeDns01Version' direktíva hozzáadásra került a mod_md modulhoz a DNS-ellenőrzéshez használt ACME protokollverzió kiválasztásához.
- A mod_md lehetővé teszi az MDChallengeDns01 direktíva használatát az egyes tartományokhoz.
- A „DavBasePath” direktíva hozzáadva a mod_dav fájlhoz, amely a WebDav lerakat gyökerének elérési útját konfigurálja.
- Az „AliasPreservePath” direktíva hozzáadva a mod_aliashoz, hogy az Alias értéket a Location blokkban teljes elérési útként használja.
- A „RedirectRelative” direktíva hozzáadva a mod_alias-hoz, lehetővé téve az átirányítást relatív útvonalak használatával.
- A %{z} és %{strftime-format} formátumspecifikátorok hozzáadásra kerültek az ErrorLogFormat direktívához.
- A „DeflateAlterETag” direktíva hozzáadva a mod_deflate-hez, hogy szabályozza, hogyan változik az ETag tömörítéskor.
- A send_brigade_nonblocking() függvény teljesítménye optimalizálva lett.
- A Mod_status biztosítja, hogy a „BusyWorkers” és az „IdleWorkers” ismétlődő kulcsok eltávolításra kerüljenek, és egy új „GracefulWorkers” számláló kerüljön hozzáadásra.
Forrás: opennet.ru