rilascio del server HTTP Apache 2.4.46 (sono state saltate le versioni 2.4.44 e 2.4.45), che ha introdotto ed eliminato :
- — un buffer overflow nel modulo mod_proxy_uwsgi, che può portare alla perdita di informazioni o all'esecuzione di codice sul server quando si invia una richiesta appositamente predisposta. La vulnerabilità viene sfruttata inviando un'intestazione HTTP molto lunga. Per protezione, è stato aggiunto il blocco delle intestazioni più lunghe di 16K (un limite definito nelle specifiche del protocollo).
- — una vulnerabilità nel modulo mod_http2 che consente al processo di bloccarsi quando si invia una richiesta con un'intestazione HTTP/2 appositamente progettata. Il problema si manifesta quando il debug o la traccia è abilitato nel modulo mod_http2 e si riflette nel danneggiamento del contenuto della memoria a causa di una condizione di competizione durante il salvataggio delle informazioni nel registro. Il problema non si presenta quando LogLevel è impostato su “info”.
- — una vulnerabilità nel modulo mod_http2 che consente a un processo di bloccarsi quando si invia una richiesta tramite HTTP/2 con un valore di intestazione 'Cache-Digest' appositamente progettato (il crash si verifica quando si tenta di eseguire un'operazione PUSH HTTP/2 su una risorsa) . Per bloccare la vulnerabilità è possibile utilizzare l'impostazione “H2Push off”.
- — Vulnerabilità mod_remoteip, che consente di falsificare gli indirizzi IP durante il proxy utilizzando mod_remoteip e mod_rewrite. Il problema si presenta solo per le versioni da 2.4.1 a 2.4.23.
Le modifiche più importanti non legate alla sicurezza:
- Il supporto per la bozza delle specifiche è stato rimosso da mod_http2 , la cui promozione è stata interrotta.
- Modificato il comportamento della direttiva "LimitRequestFields" in mod_http2; specificando un valore pari a 0 ora disabilita il limite.
- mod_http2 fornisce l'elaborazione delle connessioni primarie e secondarie (master/secondaria) e la marcatura dei metodi a seconda dell'uso.
- Se viene ricevuto un contenuto errato dell'intestazione Last-Modified da uno script FCGI/CGI, questa intestazione viene ora rimossa anziché sostituita nell'epoca Unix.
- La funzione ap_parse_strict_length() è stata aggiunta al codice per analizzare rigorosamente la dimensione del contenuto.
- ProxyFCGISetEnvIf di Mod_proxy_fcgi garantisce che le variabili di ambiente vengano rimosse se l'espressione data restituisce False.
- Risolta una race condition e un possibile arresto anomalo di mod_ssl quando si utilizzava un certificato client specificato tramite l'impostazione SSLProxyMachineCertificateFile.
- Risolta la perdita di memoria in mod_ssl.
- mod_proxy_http2 prevede l'utilizzo del parametro proxy "» quando si controlla la funzionalità di una connessione nuova o riutilizzata al backend.
- Arresto del collegamento di httpd con l'opzione "-lsystemd" quando mod_systemd è abilitato.
- mod_proxy_http2 garantisce che l'impostazione ProxyTimeout venga presa in considerazione durante l'attesa dei dati in entrata attraverso le connessioni al backend.
Fonte: opennet.ru