Apache HTTP սերվերի թողարկում 2.4.46 (2.4.44 և 2.4.45 թողարկումները բաց են թողնվել), որը ներկայացրեց և վերացվել :
- — բուֆերային արտահոսք mod_proxy_uwsgi մոդուլում, որը կարող է հանգեցնել տեղեկատվության արտահոսքի կամ սերվերի վրա կոդի կատարման հատուկ մշակված հարցում ուղարկելիս: Խոցելիությունը շահագործվում է՝ ուղարկելով շատ երկար HTTP վերնագիր: Պաշտպանության համար ավելացվել է 16K-ից ավելի վերնագրերի արգելափակում (արձանագրության բնութագրում սահմանված սահմանաչափ):
- — mod_http2 մոդուլի խոցելիություն, որը թույլ է տալիս գործընթացին խափանել հատուկ մշակված HTTP/2 վերնագրով հարցում ուղարկելիս: Խնդիրը դրսևորվում է այն ժամանակ, երբ վրիպազերծումը կամ հետագծումը միացված է mod_http2 մոդուլում և հանգեցնում է հիշողության խաթարման՝ տեղեկամատյանում տեղեկատվությունը պահելու ժամանակ մրցավազքի պատճառով: Խնդիրը չի երևում, երբ LogLevel-ը դրված է «info»:
- — mod_http2 մոդուլի խոցելիություն, որը թույլ է տալիս գործընթացին խափանել HTTP/2-ի միջոցով հարցում ուղարկելիս հատուկ մշակված «Cache-Digest» վերնագրի արժեքով (խափանումը տեղի է ունենում ռեսուրսի վրա HTTP/2 PUSH գործողություն կատարելիս) . Խոցելիությունը արգելափակելու համար կարող եք օգտագործել «H2Push off» պարամետրը:
- — mod_remoteip խոցելիություն, որը թույլ է տալիս կեղծել IP հասցեները պրոքսինգի ժամանակ՝ օգտագործելով mod_remoteip և mod_rewrite: Խնդիրը հայտնվում է միայն 2.4.1-ից մինչև 2.4.23 թողարկումների համար:
Ամենաուշագրավ ոչ անվտանգության փոփոխություններն են.
- Նախագծի ճշգրտման աջակցությունը հեռացվել է mod_http2-ից , որի առաջխաղացումը դադարեցվել է։
- Փոխել է «LimitRequestFields» հրահանգի վարքագիծը mod_http2-ում; 0-ի սահմանումը այժմ անջատում է սահմանը:
- mod_http2-ն ապահովում է առաջնային և երկրորդային (հիմնական/երկրորդային) միացումների մշակում և մեթոդների նշում՝ կախված կիրառությունից:
- Եթե վերջին փոփոխված վերնագրի սխալ բովանդակությունը ստացվում է FCGI/CGI սկրիպտից, ապա այս վերնագիրն այժմ հեռացվում է, այլ ոչ թե փոխարինվում Unix դարաշրջանում:
- Կոդին ավելացվել է ap_parse_strict_length() ֆունկցիան՝ բովանդակության չափը խստորեն վերլուծելու համար:
- Mod_proxy_fcgi-ի ProxyFCGISetEnvIf-ն ապահովում է, որ միջավայրի փոփոխականները հեռացվեն, եթե տրված արտահայտությունը վերադարձնի False:
- Շտկվել է մրցավազքի վիճակը և հնարավոր mod_ssl խափանումը, երբ օգտագործում եք SSLProxyMachineCertificateFile պարամետրի միջոցով նշված հաճախորդի վկայականը:
- Հիշողության արտահոսքը շտկվել է mod_ssl-ում:
- mod_proxy_http2 ապահովում է վստահված անձի պարամետրի օգտագործումը "» հետնամասի հետ նոր կամ վերօգտագործված կապի ֆունկցիոնալությունը ստուգելիս:
- Դադարեցրեց httpd-ի կապը «-lsystemd» տարբերակի հետ, երբ mod_systemd-ը միացված է:
- mod_proxy_http2-ն ապահովում է, որ ProxyTimeout պարամետրը հաշվի առնվի, երբ սպասվում է մուտքային տվյալներ հետնամասի հետ կապերի միջոցով:
Source: opennet.ru