Apache HTTP серверінің 2.4.41 шығарылымы (2.4.40 шығарылымы өткізіп жіберілді), ол енгізілген және жойылды :
- mod_http2 ішіндегі мәселе, ол push сұрауларын өте ерте кезеңде жіберу кезінде жадтың бұзылуына әкелуі мүмкін. «H2PushResource» параметрін пайдаланған кезде сұрауды өңдеу пулындағы жадты қайта жазуға болады, бірақ мәселе бұзылумен шектеледі, себебі жазылатын деректер клиенттен алынған ақпаратқа негізделмейді;
- - соңғы экспозиция HTTP/2 енгізулеріндегі DoS осалдықтары.
Шабуылдаушы процесске қолжетімді жадты таусуы және серверге деректерді шектеусіз жіберу үшін жылжымалы HTTP/2 терезесін ашу арқылы, бірақ TCP терезесін жабық күйде ұстап, деректердің розеткаға нақты жазылуын болдырмай, процессордың ауыр жүктемесін жасай алады; - - басқа ресурстарға сұрауларды жіберу үшін серверді пайдалануға мүмкіндік беретін mod_rewrite ақаулығы (ашық қайта бағыттау). Кейбір mod_rewrite параметрлері пайдаланушының бар қайта бағыттауда пайдаланылған параметр ішіндегі жаңа жол таңбасын пайдаланып кодталған басқа сілтемеге қайта бағытталуына әкелуі мүмкін. RegexDefaultOptions ішіндегі мәселені блоктау үшін қазір әдепкі бойынша орнатылған PCRE_DOTALL жалауын пайдалануға болады;
- - mod_proxy арқылы көрсетілген қате беттерінде сайттар арасындағы сценарийді орындау мүмкіндігі. Бұл беттерде сілтеме сұраудан алынған URL мекенжайын қамтиды, оған шабуылдаушы таңбаларды шығару арқылы еркін HTML кодын енгізе алады;
- — MOD_remoteip ішіндегі стектің толып кетуі және NULL көрсеткішінің анықтамасы, PROXY протоколының тақырыбын өңдеу арқылы пайдаланылады. Шабуыл клиент сұрауы арқылы емес, параметрлерде пайдаланылатын прокси-сервер жағынан ғана жүзеге асырылуы мүмкін;
- - қосылымды тоқтату сәтінде әлдеқашан босаған жад аймағынан мазмұнды оқуды бастауға мүмкіндік беретін mod_http2 осалдығы (бос орыннан кейін оқу).
Қауіпсіздікке жатпайтын ең маңызды өзгерістер:
- mod_proxy_balancer сенімді серіктестердің XSS/XSRF шабуылдарынан жақсартылған қорғанысқа ие болды;
- Сеанс/cookie файлының жарамдылық мерзімін жаңарту аралығын анықтау үшін mod_session параметріне SessionExpiryUpdateInterval параметрі қосылды;
- Қателері бар беттер тазартылды, бұл беттердегі сұраулардан ақпаратты көрсетуді жоюға бағытталған;
- mod_http2 "LimitRequestFieldSize" параметрінің мәнін ескереді, ол бұрын тек HTTP/1.1 тақырып өрістерін тексеру үшін жарамды болды;
- BalancerMember қолданбасында пайдаланылған кезде mod_proxy_hcheck конфигурациясының жасалғанын қамтамасыз етеді;
- Үлкен коллекцияда PROPFIND пәрменін пайдаланған кезде mod_dav жадты тұтынуды азайту;
- mod_proxy және mod_ssl нұсқаларында прокси блогының ішіндегі сертификат пен SSL параметрлерін көрсету мәселелері шешілді;
- mod_proxy SSLProxyCheckPeer* параметрлерін барлық прокси модульдерге қолдануға мүмкіндік береді;
- Модуль мүмкіндіктері кеңейтілді , ACME (Automatic Certificate Management Environment) протоколы арқылы сертификаттарды алуды және техникалық қызмет көрсетуді автоматтандыру үшін жобаны шифрлейік:
- Хаттаманың екінші нұсқасы қосылды , ол қазір әдепкі болып табылады және GET орнына бос POST сұраулары.
- HTTP/01 жүйесінде қолданылатын TLS-ALPN-7301 кеңейтіміне (RFC 2, қолданба-деңгейлік протокол келіссөзі) негізделген тексеруге қолдау қосылды.
- "tls-sni-01" растау әдісіне қолдау көрсету тоқтатылды (себебі ).
- 'dns-01' әдісі арқылы чекті орнату және бұзу үшін қосылды.
- Қосымша қолдау DNS негізіндегі растау қосылғанда ('dns-01') сертификаттарда.
- 'md-status' өңдеушісі және сертификат күйі беті 'https://domain/.httpd/certificate-status' енгізілді.
- Домен параметрлерін статикалық файлдар арқылы конфигурациялауға арналған "MDCertificateFile" және "MDCertificateKeyFile" директивалары қосылды (автоматты жаңартуды қолдаусыз).
- «Жаңартылған», «мерзімі біткен» немесе «қателескен» оқиғалар орын алған кезде сыртқы пәрмендерді шақыру үшін «MDMessageCmd» директивасы қосылды.
- Сертификат мерзімінің аяқталуы туралы ескерту хабарламасын конфигурациялау үшін "MDWarnWindow" директивасы қосылды;
Ақпарат көзі: opennet.ru