rilascio del server Apache HTTP 2.4.41 (è stata saltata la versione 2.4.40), che ha introdotto ed eliminato :
- è un problema in mod_http2 che può portare al danneggiamento della memoria quando si inviano richieste push in una fase molto iniziale. Quando si utilizza l'impostazione "H2PushResource", è possibile sovrascrivere la memoria nel pool di elaborazione delle richieste, ma il problema è limitato a un arresto anomalo perché i dati scritti non si basano sulle informazioni ricevute dal client;
- - esposizione recente Vulnerabilità DoS nelle implementazioni HTTP/2.
Un utente malintenzionato può esaurire la memoria disponibile per un processo e creare un carico pesante sulla CPU aprendo una finestra HTTP/2 scorrevole affinché il server possa inviare dati senza restrizioni, ma mantenendo la finestra TCP chiusa, impedendo che i dati vengano effettivamente scritti nel socket; - - un problema in mod_rewrite, che consente di utilizzare il server per inoltrare richieste ad altre risorse (reindirizzamento aperto). Alcune impostazioni mod_rewrite potrebbero comportare l'inoltro dell'utente a un altro collegamento, codificato utilizzando un carattere di nuova riga all'interno di un parametro utilizzato in un reindirizzamento esistente. Per bloccare il problema in RegexDefaultOptions è possibile utilizzare il flag PCRE_DOTALL, che ora è impostato di default;
- - la possibilità di eseguire scripting cross-site sulle pagine di errore visualizzate da mod_proxy. In queste pagine il collegamento contiene l'URL ottenuto dalla richiesta, in cui un utente malintenzionato può inserire codice HTML arbitrario tramite l'escape dei caratteri;
- — overflow dello stack e dereferenziazione del puntatore NULL in mod_remoteip, sfruttati attraverso la manipolazione dell'intestazione del protocollo PROXY. L'attacco può essere effettuato solo dal lato del server proxy utilizzato nelle impostazioni e non tramite richiesta del client;
- - una vulnerabilità in mod_http2 che permette, al momento della terminazione della connessione, di avviare la lettura dei contenuti da un'area di memoria già liberata (read-after-free).
Le modifiche più importanti non legate alla sicurezza:
- mod_proxy_balancer ha migliorato la protezione contro gli attacchi XSS/XSRF da parte di peer fidati;
- Un'impostazione SessionExpiryUpdateInterval è stata aggiunta a mod_session per determinare l'intervallo per l'aggiornamento della scadenza della sessione/cookie;
- È stata effettuata la pulizia delle pagine con errori, volta ad eliminare la visualizzazione delle informazioni provenienti dalle richieste su queste pagine;
- mod_http2 tiene conto del valore del parametro “LimitRequestFieldSize”, che prima era valido solo per controllare i campi header HTTP/1.1;
- Garantisce che la configurazione mod_proxy_hcheck venga creata quando utilizzata in BalancerMember;
- Consumo di memoria ridotto in mod_dav quando si utilizza il comando PROPFIND su una raccolta di grandi dimensioni;
- In mod_proxy e mod_ssl sono stati risolti i problemi relativi alla specifica del certificato e delle impostazioni SSL all'interno del blocco Proxy;
- mod_proxy consente di applicare le impostazioni SSLProxyCheckPeer* a tutti i moduli proxy;
- Funzionalità del modulo ampliate , Progetto Let's Encrypt per automatizzare la ricezione e il mantenimento dei certificati utilizzando il protocollo ACME (Automatic Certificate Management Environment):
- Aggiunta la seconda versione del protocollo , che ora è l'impostazione predefinita e richieste POST vuote invece di GET.
- Aggiunto supporto per la verifica basata sull'estensione TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), utilizzata in HTTP/2.
- Il supporto per il metodo di verifica "tls-sni-01" è stato interrotto (a causa di ).
- Aggiunti comandi per impostare e interrompere il controllo utilizzando il metodo 'dns-01'.
- Aggiunto supporto nei certificati quando la verifica basata su DNS è abilitata ("dns-01").
- Implementato il gestore "md-status" e la pagina di stato del certificato "https://domain/.httpd/certificate-status".
- Aggiunte le direttive "MDCertificateFile" e "MDCertificateKeyFile" per la configurazione dei parametri del dominio tramite file statici (senza supporto per l'aggiornamento automatico).
- Aggiunta la direttiva "MDMessageCmd" per richiamare comandi esterni quando si verificano eventi "rinnovato", "in scadenza" o "errore".
- Aggiunta la direttiva "MDWarnWindow" per configurare un messaggio di avviso sulla scadenza del certificato;
Fonte: opennet.ru