rilis server HTTP Apache 2.4.41 (rilis 2.4.40 dilewati), yang memperkenalkan dan dihilangkan :
- adalah masalah di mod_http2 yang dapat menyebabkan kerusakan memori saat mengirim permintaan push pada tahap yang sangat awal. Saat menggunakan pengaturan "H2PushResource", dimungkinkan untuk menimpa memori di kumpulan pemrosesan permintaan, namun masalahnya terbatas pada kerusakan karena data yang ditulis tidak berdasarkan informasi yang diterima dari klien;
- - paparan terkini Kerentanan DoS dalam implementasi HTTP/2.
Seorang penyerang dapat menghabiskan memori yang tersedia untuk suatu proses dan membuat beban CPU yang berat dengan membuka jendela geser HTTP/2 agar server dapat mengirim data tanpa batasan, namun tetap menutup jendela TCP, mencegah data benar-benar ditulis ke soket; - - masalah di mod_rewrite, yang memungkinkan Anda menggunakan server untuk meneruskan permintaan ke sumber lain (pengalihan terbuka). Beberapa pengaturan mod_rewrite dapat mengakibatkan pengguna diteruskan ke tautan lain, yang dikodekan menggunakan karakter baris baru dalam parameter yang digunakan dalam pengalihan yang ada. Untuk memblokir masalah di RegexDefaultOptions, Anda dapat menggunakan flag PCRE_DOTALL, yang sekarang disetel secara default;
- - kemampuan untuk melakukan skrip lintas situs pada halaman kesalahan yang ditampilkan oleh mod_proxy. Di halaman ini, link berisi URL yang diperoleh dari permintaan, di mana penyerang dapat memasukkan kode HTML arbitrer melalui pelolosan karakter;
- β stack overflow dan dereferensi penunjuk NULL di mod_remoteip, dieksploitasi melalui manipulasi header protokol PROXY. Serangan hanya dapat dilakukan dari sisi server proxy yang digunakan dalam pengaturan, dan bukan melalui permintaan klien;
- - kerentanan di mod_http2 yang memungkinkan, pada saat pemutusan koneksi, untuk memulai pembacaan konten dari area memori yang sudah dibebaskan (baca setelah bebas).
Perubahan non-keamanan yang paling menonjol adalah:
- mod_proxy_balancer telah meningkatkan perlindungan terhadap serangan XSS/XSRF dari rekan tepercaya;
- Pengaturan SessionExpiryUpdateInterval telah ditambahkan ke mod_session untuk menentukan interval pembaruan waktu kedaluwarsa sesi/cookie;
- Halaman-halaman yang memiliki kesalahan dibersihkan, bertujuan untuk menghilangkan tampilan informasi dari permintaan pada halaman-halaman ini;
- mod_http2 memperhitungkan nilai parameter βLimitRequestFieldSizeβ, yang sebelumnya hanya valid untuk memeriksa bidang header HTTP/1.1;
- Memastikan konfigurasi mod_proxy_hcheck dibuat saat digunakan di BalancerMember;
- Mengurangi konsumsi memori di mod_dav saat menggunakan perintah PROPFIND pada koleksi besar;
- Di mod_proxy dan mod_ssl, masalah dengan menentukan sertifikat dan pengaturan SSL di dalam blok Proxy telah diselesaikan;
- mod_proxy memungkinkan pengaturan SSLProxyCheckPeer* diterapkan ke semua modul proxy;
- Kemampuan modul diperluas , Mari Enkripsi proyek untuk mengotomatiskan penerimaan dan pemeliharaan sertifikat menggunakan protokol ACME (Lingkungan Manajemen Sertifikat Otomatis):
- Menambahkan protokol versi kedua , yang sekarang menjadi default dan kosongkan permintaan POST alih-alih GET.
- Menambahkan dukungan untuk verifikasi berdasarkan ekstensi TLS-ALPN-01 (RFC 7301, Negosiasi Protokol Lapisan Aplikasi), yang digunakan dalam HTTP/2.
- Dukungan untuk metode verifikasi 'tls-sni-01' telah dihentikan (karena ).
- Menambahkan perintah untuk mengatur dan memecahkan pemeriksaan menggunakan metode 'dns-01'.
- Ditambahkan dukungan dalam sertifikat ketika verifikasi berbasis DNS diaktifkan ('dns-01').
- Menerapkan pengendali 'md-status' dan halaman status sertifikat 'https://domain/.httpd/certificate-status'.
- Menambahkan arahan "MDCertificateFile" dan "MDCertificateKeyFile" untuk mengonfigurasi parameter domain melalui file statis (tanpa dukungan pembaruan otomatis).
- Menambahkan arahan "MDMessageCmd" untuk memanggil perintah eksternal ketika peristiwa 'diperbarui', 'kedaluwarsa', atau 'kesalahan' terjadi.
- Menambahkan arahan "MDWarnWindow" untuk mengonfigurasi pesan peringatan tentang kedaluwarsa sertifikat;
Sumber: opennet.ru