ProHoster > blog > berita internet > Rilis server http Apache 2.4.58 dengan penghapusan kerentanan DoS di HTTP/2

Rilis server http Apache 2.4.58 dengan penghapusan kerentanan DoS di HTTP/2

Rilis server HTTP Apache 2.4.58 telah dipublikasikan, yang memperkenalkan 33 perubahan dan menghilangkan tiga kerentanan, dua di antaranya terkait dengan kemungkinan melakukan serangan DoS pada sistem yang menggunakan protokol HTTP/2.

  • CVE-2023-45802 Kondisi kehabisan memori terjadi karena penundaan alokasi memori setelah aliran HTTP/2 diatur ulang oleh paket dengan tanda RST. Karena memori tidak dilepaskan segera setelah flag RST diproses, tetapi hanya setelah koneksi ditutup, penyerang dapat meningkatkan konsumsi memori secara signifikan dengan mengirimkan permintaan baru dan membilasnya dengan paket RST, tetapi tanpa menutup koneksi.
  • CVE-2023-43622 – Pemrosesan koneksi HTTP/2 diblokir tanpa batas waktu jika dibuka dengan ukuran jendela geser awal disetel ke 0. Kerentanan dapat digunakan untuk menyebabkan penolakan layanan dengan melampaui batas jumlah maksimum koneksi terbuka yang diperbolehkan.
  • CVE-2023-31122 adalah kerentanan di mod_macro yang memungkinkan data dibaca dari area di luar buffer yang dialokasikan.

Di antara perubahan non-keamanan:

  • mod_http2 menambahkan dukungan untuk menggunakan protokol WebSocket melalui aliran dalam koneksi HTTP/2 (RFC 8441). Untuk mengaktifkan WebSocket melalui HTTP/2, arahan 'H2WebSockets on|off' telah diusulkan.
  • Menambahkan arahan 'nilai nama H2EarlyHint' ke mod_http2 untuk menambahkan header ke respons "103 Petunjuk Awal".
  • Menambahkan arahan 'H2ProxyRequests on|off' ke mod_http2 untuk mengontrol apakah pemrosesan permintaan HTTP/2 diaktifkan dalam konfigurasi proksi.
  • Arahan 'H2MaxDataFrameLen n' telah ditambahkan ke mod_http2 untuk membatasi ukuran maksimum isi respons dalam byte yang dikirimkan dalam satu bingkai DATA di HTTP/2. Batas defaultnya adalah 16 KB.
  • Memperbarui file mime.types, di mana ekstensi ".js" terikat pada tipe 'teks/javascript' dan bukan 'aplikasi/javascript' dan menambahkan ekstensi: ".mjs" (dengan tipe 'teks/javascript' ) dan ".opus" ( 'audio/ogg'). Menambahkan tipe dan ekstensi MIME yang digunakan di WebAssembly.
  • Modul mod_tls (alternatif untuk mod_ssl dalam bahasa Rust) telah diterjemahkan untuk menggunakan perpustakaan Rustls-ffi 0.9.2+.
  • Menambahkan arahan 'MDMatchNames all|servernames' ke modul mod_md untuk mengontrol bagaimana MDomains dicocokkan dengan konten VirtualHosts.
  • Petunjuk 'MDChallengeDns01Version' telah ditambahkan ke modul mod_md untuk memilih versi protokol ACME yang digunakan untuk verifikasi DNS.
  • mod_md memungkinkan penggunaan arahan MDChallengeDns01 untuk masing-masing domain.
  • Menambahkan arahan 'DavBasePath' ke mod_dav untuk mengonfigurasi jalur ke root repositori WebDav.
  • Menambahkan arahan 'AliasPreservePath' ke mod_alias untuk menggunakan nilai Alias ​​​​​​di blok Lokasi sebagai jalur lengkap.
  • Menambahkan arahan 'RedirectRelative' ke mod_alias, memungkinkan pengalihan menggunakan jalur relatif.
  • Penentu format %{z} dan %{strftime-format} telah ditambahkan ke direktif ErrorLogFormat.
  • Menambahkan arahan 'DeflateAlterETag' ke mod_deflate untuk mengontrol bagaimana ETag berubah saat kompresi digunakan.
  • Performa fungsi send_brigade_nonblocking() telah dioptimalkan.
  • Mod_status memastikan bahwa kunci duplikat "BusyWorkers" dan "IdleWorkers" dihapus, dan penghitung baru "GracefulWorkers" ditambahkan.

Sumber: opennet.ru

Tambah komentar