Apache HTTP серверинин 2.4.41 чыгаруусу (2.4.40 релиз өткөрүп жиберилген), ал киргизилген жана жок кылынды :
- mod_http2деги маселе, ал өтө эрте баскычта push сурамдарын жөнөтүүдө эс тутумдун бузулушуна алып келиши мүмкүн. "H2PushResource" жөндөөсүн колдонууда, суроо-талапты иштетүү пулунда эстутумдун үстүнөн жазууга болот, бирок маселе ката менен чектелет, анткени жазылып жаткан маалыматтар кардардан алынган маалыматка негизделбейт;
- - акыркы экспозиция HTTP/2 ишке ашырууларындагы DoS алсыздыктары.
Чабуулчу процесске жеткиликтүү эстутумду түгөтүп, серверге маалыматтарды чектөөсүз жөнөтүү үчүн жылма HTTP/2 терезесин ачып, бирок TCP терезесин жабык кармап, маалыматтардын чындыгында розеткага жазылышына жол бербей, процесстин оор жүгүн түзүшү мүмкүн; - - суроо-талаптарды башка ресурстарга (ачык багыттоо) жөнөтүү үчүн серверди колдонууга мүмкүндүк берген mod_rewrite көйгөйү. Кээ бир mod_rewrite жөндөөлөрү колдонуучунун башка шилтемеге жөнөтүлүшүнө алып келиши мүмкүн, ал учурдагы багыттоодо колдонулган параметр ичинде жаңы сызык белгиси аркылуу коддолгон. RegexDefaultOptionsдагы көйгөйдү бөгөттөө үчүн, азыр демейки боюнча коюлган PCRE_DOTALL желегин колдоно аласыз;
- - mod_proxy тарабынан көрсөтүлгөн ката беттеринде сайттар аралык скрипт жасоо мүмкүнчүлүгү. Бул барактарда шилтеме суроодон алынган URL'ди камтыйт, анда чабуулчу символдон качуу аркылуу каалаган HTML кодун киргизе алат;
- — MOD_remoteip ичиндеги стектин толуп кетиши жана NULL көрсөткүчүнүн берилиши, PROXY протоколунун башын манипуляциялоо аркылуу пайдаланылат. Кол салуу кардарлардын суроо-талабы аркылуу эмес, орнотууларда колдонулган прокси сервер тарабынан гана жүргүзүлүшү мүмкүн;
- — туташуу токтотулган учурда, мурдатан бошоп калган эстутум аймагынан мазмунду окууну баштоого мүмкүндүк берген mod_http2 кемчилиги (акысыз окуу).
Эң көрүнүктүү коопсуздук эмес өзгөрүүлөр:
- mod_proxy_balancer ишенимдүү курбуларынын XSS/XSRF чабуулдарынан коргоону жакшыртты;
- Сеанстын/cookie файлынын жарактуулук мөөнөтүн жаңыртуу аралыгын аныктоо үчүн mod_sessionге SessionExpiryUpdateInterval жөндөөсү кошулду;
- Каталары бар барактар тазаланып, бул баракчалардагы суроо-талаптардан маалыматтын көрсөтүлүшүн жоюуга багытталган;
- mod_http2 "LimitRequestFieldSize" параметринин маанисин эске алат, ал мурда HTTP/1.1 баш талааларын текшерүү үчүн гана жарактуу болгон;
- BalancerMemberде колдонулганда mod_proxy_hcheck конфигурациясынын түзүлүшүн камсыздайт;
- Чоң коллекцияда PROPFIND буйругун колдонууда mod_dav ичинде эстутум керектөө кыскарды;
- mod_proxy жана mod_sslде прокси блоктун ичиндеги сертификатты жана SSL орнотууларды көрсөтүү менен байланышкан көйгөйлөр чечилди;
- mod_proxy SSLProxyCheckPeer* жөндөөлөрүн бардык прокси модулдарына колдонууга мүмкүндүк берет;
- Модулдун мүмкүнчүлүктөрү кеңейтилди , Келгиле, ACME (Automatic Certificate Management Environment) протоколун колдонуу менен сертификаттарды алууну жана тейлөөнү автоматташтыруу үчүн долбоорду шифрлейли:
- Протоколдун экинчи версиясы кошулду , азыр демейки жана GETтин ордуна бош POST сурамдары.
- HTTP/01де колдонулган TLS-ALPN-7301 кеңейтүүсүнүн (RFC 2, Колдонмо-катмар протоколунун сүйлөшүүлөрү) негизинде текшерүү үчүн кошумча колдоо.
- "tls-sni-01" текшерүү ыкмасын колдоо токтотулду (байланыштуу ).
- "dns-01" ыкмасын колдонуу менен текшерүүнү орнотуу жана бузуу үчүн кошумча буйруктар.
- Кошулган колдоо DNS негизинде текшерүү иштетилгенде ('dns-01') тастыктамаларда.
- Ишке ашырылган "md-status" иштеткич жана тастыктама статусу барагы "https://domain/.httpd/certificate-status".
- Домен параметрлерин статикалык файлдар аркылуу конфигурациялоо үчүн "MDCertificateFile" жана "MDCertificateKeyFile" директивалары кошулду (автоматтык жаңыртуу колдоосу жок).
- Кошулган "MDMessageCmd" директивасы "жаңыланган", "мөөнөтү бүткөн" же "каталанган" окуялар болгондо тышкы буйруктарды чакыруу үчүн.
- Сертификаттын мөөнөтү бүтүшү жөнүндө эскертүү билдирүүсүн конфигурациялоо үчүн "MDWarnWindow" директивасы кошулду;
Source: opennet.ru
