Apache HTTP サーバー 2.4.46 のリリース (リリース 2.4.44 および 2.4.45 はスキップされました)。 そして排除された :
- — mod_proxy_uwsgi モジュールのバッファ オーバーフロー。特別に細工されたリクエストを送信するときに、情報漏洩やサーバー上でのコード実行につながる可能性があります。この脆弱性は、非常に長い HTTP ヘッダーを送信することによって悪用されます。保護のために、16K を超えるヘッダーのブロックが追加されました (プロトコル仕様で定義された制限)。
- — mod_http2 モジュールの脆弱性により、特別に設計された HTTP/2 ヘッダーを含むリクエストを送信するとプロセスがクラッシュする可能性があります。この問題は、mod_http2 モジュールでデバッグまたはトレースが有効になっているときに発生し、情報をログに保存するときの競合状態によるメモリ内容の破損に反映されます。 LogLevel が「info」に設定されている場合、この問題は発生しません。
- — mod_http2 モジュールの脆弱性により、特別に設計された「Cache-Digest」ヘッダー値を持つ HTTP/2 経由でリクエストを送信するとプロセスがクラッシュする可能性があります (リソースに対して HTTP/2 PUSH 操作を実行しようとするとクラッシュが発生します)。 。脆弱性をブロックするには、「H2Push off」設定を使用できます。
- — mod_remoteip の脆弱性。これにより、mod_remoteip および mod_rewrite を使用したプロキシ中に IP アドレスを偽装することができます。この問題は、リリース 2.4.1 ~ 2.4.23 でのみ発生します。
セキュリティ以外の最も注目すべき変更は次のとおりです。
- ドラフト仕様のサポートは mod_http2 から削除されました 、プロモーションが停止されました。
- mod_http2 の「LimitRequestFields」ディレクティブの動作が変更され、値 0 を指定すると制限が無効になるようになりました。
- mod_http2 は、プライマリおよびセカンダリ (マスター/セカンダリ) 接続の処理と、用途に応じたメソッドのマーキングを提供します。
- FCGI/CGI スクリプトから誤った Last-Modified ヘッダー コンテンツを受信した場合、このヘッダーは Unix エポック タイムで置き換えられるのではなく、削除されるようになりました。
- コンテンツ サイズを厳密に解析するために、 ap_parse_strict_length() 関数がコードに追加されました。
- Mod_proxy_fcgi の ProxyFCGISetEnvIf は、指定された式が False を返した場合に環境変数が確実に削除されるようにします。
- SSLProxyMachineCertificateFile 設定で指定されたクライアント証明書を使用する場合の競合状態と mod_ssl クラッシュの可能性を修正しました。
- mod_ssl のメモリ リークを修正しました。
- mod_proxy_http2 は、プロキシ パラメータの使用を提供します。» バックエンドへの新しい接続または再利用された接続の機能をチェックする場合。
- mod_systemd が有効な場合、「-lsystemd」オプションを使用した httpd のバインドを停止しました。
- mod_proxy_http2 は、バックエンドへの接続を介して受信データを待機するときに ProxyTimeout 設定が考慮されるようにします。
出所: オープンネット.ru