Apache HTTP サーバー 2.4.58 のリリースが公開されました。このリリースでは 33 件の変更が加えられ、2 件の脆弱性が解消されています。そのうち XNUMX 件は、HTTP/XNUMX プロトコルを使用するシステムに対して DoS 攻撃を実行する可能性に関連しています。
- CVE-2023-45802 RST フラグを持つパケットによって HTTP/2 ストリームがリセットされた後の遅延メモリ割り当て解除により、メモリ枯渇状態が発生します。 メモリは RST フラグの処理直後には解放されず、接続が閉じられた後にのみ解放されるため、攻撃者は接続を閉じずに新しいリクエストを送信して RST パケットでフラッシュすることにより、メモリの消費を大幅に増加させる可能性があります。
- CVE-2023-43622 – 初期スライディング ウィンドウ サイズを 2 に設定して開かれた場合、HTTP/0 接続処理が無期限にブロックされる。 この脆弱性を利用すると、オープン接続の最大許容数の制限を超えることにより、サービス妨害が引き起こされる可能性があります。
- CVE-2023-31122 は、割り当てられたバッファの外側の領域からデータを読み取ることを可能にする mod_macro の脆弱性です。
セキュリティ以外の変更には次のようなものがあります。
- mod_http2 は、HTTP/2 接続のストリーム上で WebSocket プロトコルを使用するためのサポートを追加します (RFC 8441)。 HTTP/2 経由で WebSocket を有効にするために、「H2WebSockets on|off」ディレクティブが提案されています。
- 「2 Early Hints」応答にヘッダーを追加するために、「H2EarlyHint name value」ディレクティブを mod_http103 に追加しました。
- プロキシ構成で HTTP/2 リクエスト処理を有効にするかどうかを制御するために、「H2ProxyRequests on|off」ディレクティブを mod_http2 に追加しました。
- 'H2MaxDataFrameLen n' ディレクティブが mod_http2 に追加され、HTTP/2 の 16 つの DATA フレームで送信される応答本文の最大サイズ (バイト単位) を制限します。 デフォルトの制限は XNUMXKB です。
- mime.types ファイルを更新し、「.js」拡張子が「application/javascript」ではなく「text/javascript」タイプにバインドされ、「.mjs」(「text/javascript」タイプの)拡張子が追加されました。 ) と ".opus" ('audio/ogg')。 WebAssembly で使用される MIME タイプと拡張子を追加しました。
- mod_tls モジュール (Rust 言語の mod_ssl の代替) は、rustls-ffi 0.9.2+ ライブラリを使用するように翻訳されました。
- MDomain を VirtualHosts コンテンツに一致させる方法を制御するために、「MDMatchNames all|servernames」ディレクティブを mod_md モジュールに追加しました。
- DNS 検証に使用される ACME プロトコル バージョンを選択するための「MDChallengeDns01Version」ディレクティブが mod_md モジュールに追加されました。
- mod_md を使用すると、個々のドメインに対して MDChallengeDns01 ディレクティブを使用できます。
- WebDav リポジトリのルートへのパスを設定するための「DavBasePath」ディレクティブを mod_dav に追加しました。
- Location ブロックの Alias 値をフルパスとして使用するための「AliasPreservePath」ディレクティブを mod_alias に追加しました。
- mod_alias に「RedirectRelative」ディレクティブが追加され、相対パスを使用したリダイレクトが可能になりました。
- %{z} および %{strftime-format} 形式指定子が ErrorLogFormat ディレクティブに追加されました。
- 圧縮使用時に ETag がどのように変化するかを制御するために、「DeflateAlterETag」ディレクティブを mod_deflate に追加しました。
- send_brigade_nonblocking() 関数のパフォーマンスが最適化されました。
- Mod_status により、重複キー「BusyWorkers」と「IdleWorkers」が削除され、新しいカウンター「GracefulWorkers」が追加されます。
出所: オープンネット.ru