Թողարկվել է Apache HTTP Server 2.4.58 տարբերակը, որը ներմուծել է 33 փոփոխություն և շտկել երեք խոցելիություն, որոնցից երկուսը կապված էին HTTP/2 արձանագրությունն օգտագործող համակարգերի վրա DoS հարձակում իրականացնելու հնարավորության հետ։
- CVE-2023-45802 - Հիշողության սպառման պայմանների ստեղծում՝ RST դրոշով փաթեթով HTTP/2 հոսքի վերագործարկումից հետո հիշողության ուշացման պատճառով։ Քանի որ հիշողությունը չի ազատվում RST դրոշի մշակումից անմիջապես հետո, այլ միայն կապի փակումից հետո, հարձակվողը կարող է զգալիորեն մեծացնել հիշողության սպառումը՝ ուղարկելով նոր հարցումներ և դրանք վերագործարկելով RST փաթեթով, բայց առանց կապը փակելու։
- CVE-2023-43622 - HTTP/2 կապի մշակման անվերջ արգելափակում, եթե այն բացվել է սկզբնական սահող պատուհանի չափսով 0: Խոցելիությունը կարող է օգտագործվել ծառայության մերժման համար՝ սպառելով բաց կապերի առավելագույն թվի սահմանաչափը:
- CVE-2023-31122-ը mod_macro-ում խոցելիություն է, որը թույլ է տալիս կարդալ տվյալներ հատկացված բուֆերից դուրս գտնվող տարածքից:
Ոչ անվտանգության փոփոխությունները ներառում են.
- mod_http2-ը ավելացնում է աջակցություն WebSocket արձանագրությունը HTTP/2 կապի միջոցով հոսքի միջոցով օգտագործելու համար (RFC 8441): HTTP/2-ի միջոցով WebSockets-ը միացնելու համար առաջարկվում է 'H2WebSockets on|off' հրահանգը։
- «H2EarlyHint name value» հրահանգն ավելացվել է mod_http2-ին՝ «103 վաղ ակնարկներ» պատասխանին վերնագրեր ավելացնելու համար:
- Mod_http2-ում ավելացվել է 'H2ProxyRequests on|off' հրահանգը՝ վերահսկելու համար, թե արդյոք HTTP/2 հարցումների մշակումը միացված է պրոքսիի կոնֆիգուրացիայում։
- «H2MaxDataFrameLen n» դիրեկտիվը ավելացվել է mod_http2-ին՝ HTTP/2-ում մեկ DATA շրջանակում փոխանցված պատասխան մարմնի առավելագույն չափը բայթերով սահմանափակելու համար: Լռելյայն սահմանաչափը 16 ԿԲ է:
- Թարմացվել է mime.types ֆայլը՝ «.js» ընդլայնումը կապելով «text/javascript» տիպի հետ՝ «application/javascript»-ի փոխարեն, և ավելացնելով «.mjs» («text/javascript» տիպի) և «.opus» («audio/ogg») ընդլայնումները։ Ավելացվել են WebAssembly-ում օգտագործվող MIME տեսակներն ու ընդլայնումները։
- Mod_tls մոդուլը (Rust լեզվով mod_ssl-ի այլընտրանք) փոխակերպվել է rustls-ffi 0.9.2+ գրադարանն օգտագործելու համար։
- mod_md մոդուլին ավելացվել է «MDMatchNames all|servernames» հրահանգը՝ վերահսկելու, թե ինչպես են MDomains-ը համընկնում VirtualHosts-ի բովանդակությանը:
- «MDChallengeDns01Version» հրահանգը ավելացվել է mod_md մոդուլին՝ ընտրելու ACME արձանագրության տարբերակը, որն օգտագործվում է DNS ստուգման համար:
- Mod_md-ում MDChallengeDns01 դիրեկտիվի օգտագործումը թույլատրվում է անհատականների համար։ դոմեյններ.
- mod_dav-ին ավելացվել է 'DavBasePath' հրահանգը՝ WebDav պահոցի արմատային ուղին կարգավորելու համար։
- mod_alias-ին ավելացվել է 'AliasPreservePath' հրահանգը՝ Location բլոկում Alias արժեքի լրիվ ուղին օգտագործելու համար։
- Mod_alias-ին ավելացվել է 'RedirectRelative' հրահանգը՝ հարաբերական ուղիների միջոցով վերահասցեավորումը թույլատրելու համար։
- %{z} և %{strftime-format} ձևաչափի սպեցիֆիկատորները ավելացվել են ErrorLogFormat դիրեկտիվին։
- mod_deflate-ին ավելացվել է 'DeflateAlterETag' հրահանգը՝ սեղմումն օգտագործելիս ETag-ի փոփոխությունը կառավարելու համար։
- send_brigade_nonblocking() ֆունկցիայի կատարումը օպտիմիզացվել է:
- Mod_status-ը ապահովում է, որ «BusyWorkers» և «IdleWorkers» կրկնօրինակ ստեղները հեռացվեն, և ավելացվի նոր հաշվիչ «GracefulWorkers»:
Source: opennet.ru
