útgáfu af Apache HTTP þjóninum 2.4.41 (útgáfu 2.4.40 var sleppt), sem kynnti og útrýmt :
- er vandamál í mod_http2 sem getur leitt til skemmda á minni þegar sendar eru push beiðnir á mjög snemma stigi. Þegar „H2PushResource“ stillingin er notuð er hægt að skrifa yfir minni í beiðnavinnsluhópnum, en vandamálið er takmarkað við hrun vegna þess að gögnin sem verið er að skrifa eru ekki byggð á upplýsingum sem berast frá viðskiptavininum;
- - nýleg útsetning DoS varnarleysi í HTTP/2 útfærslum.
Árásarmaður getur tæmt minni sem er tiltækt fyrir ferli og skapað mikið CPU-álag með því að opna HTTP/2-glugga sem rennur fyrir þjóninn til að senda gögn án takmarkana, en halda TCP-glugganum lokuðum, sem kemur í veg fyrir að gögn séu raunverulega skrifuð í falsinn; - - vandamál í mod_rewrite, sem gerir þér kleift að nota þjóninn til að framsenda beiðnir til annarra auðlinda (opin tilvísun). Sumar mod_rewrite stillingar geta leitt til þess að notandinn sé áframsendur á annan tengil, kóðaðan með nýlínustaf innan færibreytu sem notuð er í núverandi tilvísun. Til að loka fyrir vandamálið í RegexDefaultOptions geturðu notað PCRE_DOTALL fánann, sem er nú sjálfgefið;
- - getu til að framkvæma kross-síður forskriftir á villusíðum sýndar af mod_proxy. Á þessum síðum inniheldur hlekkurinn vefslóðina sem fengin er úr beiðninni, þar sem árásarmaður getur sett inn handahófskenndan HTML kóða með því að flýja út;
- — stafla yfirflæði og NULL bendill tilvísun í mod_remoteip, nýtt með því að nota PROXY samskiptareglur hausinn. Aðeins er hægt að framkvæma árásina frá hlið proxy-þjónsins sem notaður er í stillingunum, en ekki í gegnum beiðni viðskiptavinar;
- - varnarleysi í mod_http2 sem gerir kleift, á því augnabliki sem tengingu er slitið, að hefja lestur á innihaldi frá þegar losað minnissvæði (les-eftir-frítt).
Merkustu breytingarnar sem ekki tengjast öryggi eru:
- mod_proxy_balancer hefur bætt vörn gegn XSS/XSRF árásum frá traustum jafningjum;
- SessionExpiryUpdateInterval stillingu hefur verið bætt við mod_session til að ákvarða bilið til að uppfæra lokunartíma setu/kökunnar;
- Síður með villum voru hreinsaðar með það að markmiði að koma í veg fyrir birtingu upplýsinga úr beiðnum á þessum síðum;
- mod_http2 tekur tillit til gildis „LimitRequestFieldSize“ færibreytunnar, sem áður var aðeins gild til að athuga HTTP/1.1 hausreiti;
- Tryggir að mod_proxy_hcheck stillingar séu búnar til þegar þær eru notaðar í BalancerMember;
- Minni minnisnotkun í mod_dav þegar PROPFIND skipunin er notuð á stóru safni;
- Í mod_proxy og mod_ssl hefur verið leyst vandamál með að tilgreina vottorð og SSL stillingar inni í Proxy blokkinni;
- mod_proxy gerir SSLProxyCheckPeer* stillingum kleift að beita öllum proxy-einingum;
- Einingargeta aukin , Við skulum dulkóða verkefni til að gera sjálfvirkan móttöku og viðhald vottorða með því að nota ACME (Automatic Certificate Management Environment) siðareglur:
- Bætt við annarri útgáfu af samskiptareglunni , sem er nú sjálfgefið og tómar POST beiðnir í stað GET.
- Bætti við stuðningi við staðfestingu byggða á TLS-ALPN-01 viðbótinni (RFC 7301, Application-Layer Protocol Negotiation), sem er notuð í HTTP/2.
- Stuðningur við 'tls-sni-01' staðfestingaraðferðina hefur verið hætt (vegna ).
- Bætti við skipunum til að setja upp og brjóta ávísunina með því að nota 'dns-01' aðferðina.
- Bætt við stuðningi í vottorðum þegar DNS-byggð staðfesting er virkjuð ('dns-01').
- Innleidd 'md-status' meðhöndlun og vottorðsstaða síða 'https://domain/.httpd/certificate-status'.
- Bætt við "MDCertificateFile" og "MDCertificateKeyFile" tilskipunum til að stilla færibreytur léns í gegnum kyrrstæðar skrár (án stuðnings sjálfvirkrar uppfærslu).
- Bætt við „MDMessageCmd“ tilskipun til að kalla á ytri skipanir þegar „endurnýjaðar“, „rennur út“ eða „villur“ atburðir eiga sér stað.
- Bætt við "MDWarnWindow" tilskipun til að stilla viðvörunarskilaboð um útrunn vottorðs;
Heimild: opennet.ru
