release saka server HTTP Apache 2.4.41 (rilis 2.4.40 dilewati), sing ngenalaken lan diilangi :
- iku masalah ing mod_http2 sing bisa mimpin kanggo korupsi memori nalika ngirim panjalukan push ing tataran banget awal. Nalika nggunakake setelan "H2PushResource", iku bisa kanggo nimpa memori ing pool Processing request, nanging masalah diwatesi kanggo kacilakan amarga data sing ditulis ora adhedhasar informasi sing ditampa saka klien;
- - cahya anyar Kerentanan DoS ing implementasi HTTP/2.
Panyerang bisa exhaust memori kasedhiya kanggo proses lan nggawe beban CPU abot dening mbukak HTTP ngusapake / 2 jendhela kanggo server ngirim data tanpa watesan, nanging tetep jendhela TCP ditutup, nyegah data saka bener ditulis menyang soket; - - masalah ing mod_rewrite, sing ngijini sampeyan nggunakake server kanggo nerusake panjalukan kanggo sumber daya liyane (alihan mbukak). Sawetara setelan mod_rewrite bisa nyebabake pangguna diterusake menyang link liyane, dienkode nggunakake karakter baris anyar ing parameter sing digunakake ing pangalihan sing wis ana. Kanggo mblokir masalah ing RegexDefaultOptions, sampeyan bisa nggunakake panji PCRE_DOTALL, sing saiki wis disetel minangka standar;
- - kemampuan kanggo nindakake skrip lintas-situs ing kaca kesalahan sing ditampilake mod_proxy. Ing kaca kasebut, pranala kasebut ngemot URL sing dipikolehi saka panyuwunan, ing ngendi panyerang bisa nglebokake kode HTML sing sewenang-wenang liwat karakter escaping;
- - tumpukan overflow lan NULL pointer dereference ing mod_remoteip, eksploitasi liwat manipulasi header protokol PROXY. Serangan mung bisa ditindakake saka sisih server proxy sing digunakake ing setelan, lan ora liwat panyuwunan klien;
- - kerentanan ing mod_http2 sing ngidini, ing wayahe sambungan sambungan, kanggo miwiti maca isi saka wilayah memori wis dibebaske (maca-sawise-free).
Owah-owahan non-keamanan sing paling penting yaiku:
- mod_proxy_balancer wis nambah pangayoman marang serangan XSS / XSRF saka kanca-kanca sing dipercaya;
- Setelan SessionExpiryUpdateInterval wis ditambahake menyang mod_session kanggo nemtokake interval kanggo nganyari wektu kadaluwarsa sesi / cookie;
- Kaca-kaca kanthi kesalahan diresiki, ngarahake mbusak tampilan informasi saka panjalukan ing kaca kasebut;
- mod_http2 nganggep nilai parameter "LimitRequestFieldSize", sing sadurunge mung valid kanggo mriksa kolom header HTTP / 1.1;
- Mesthekake yen konfigurasi mod_proxy_hcheck digawe nalika digunakake ing BalancerMember;
- Suda konsumsi memori ing mod_dav nalika nggunakake printah PROPFIND ing koleksi gedhe;
- Ing mod_proxy lan mod_ssl, masalah karo nemtokake sertifikat lan setelan SSL ing blok Proxy wis ditanggulangi;
- mod_proxy ngidini setelan SSLProxyCheckPeer* ditrapake kanggo kabeh modul proxy;
- Kapabilitas modul ditambahi , Proyek Ayo Encrypt kanggo ngotomatisasi panrimo lan pangopènan sertifikat nggunakake protokol ACME (Lingkungan Manajemen Sertifikat Otomatis):
- Ditambahake versi kapindho protokol , sing saiki dadi standar lan panjalukan POST kosong tinimbang GET.
- Dhukungan ditambahake kanggo verifikasi adhedhasar ekstensi TLS-ALPN-01 (RFC 7301, Rembugan Protokol Lapisan Aplikasi), sing digunakake ing HTTP / 2.
- Dhukungan kanggo metode verifikasi 'tls-sni-01' wis mandheg (amarga ).
- Ditambahake printah kanggo nyetel lan ngilangi mriksa nggunakake metode 'dns-01'.
- Dhukungan ditambahake ing sertifikat nalika verifikasi basis DNS diaktifake ('dns-01').
- Dilaksanakake 'md-status' handler lan sertifikat kaca status 'https: // domain /. httpd / sertifikat-status'.
- Ditambahake "MDCertificateFile" lan "MDCertificateKeyFile" arahan kanggo ngatur parameter domain liwat file statis (tanpa dhukungan nganyari otomatis).
- Ditambahake arahan "MDMessageCmd" kanggo nelpon printah eksternal nalika kedadeyan 'dianyari', 'kadaluwarsa' utawa 'kesalahan' kedadeyan.
- Nambahake arahan "MDWarnWindow" kanggo ngatur pesen bebaya babagan kadaluwarsa sertifikat;
Source: opennet.ru