Apache HTTP серверинин 2.4.58 релизи жарыяланды, ал 33 өзгөртүүнү киргизет жана үч алсыздыкты жок кылат, алардын экөө HTTP/2 протоколун колдонуу менен системаларга DoS чабуулун жүргүзүү мүмкүнчүлүгүнө байланыштуу.
- CVE-2023-45802 HTTP/2 агымы RST желеги бар пакет тарабынан баштапкы абалга келтирилгенден кийин эстутумдун кечиктирилген бөлүштүрүлүшүнөн улам эс тутумдун түгөнүп калуу шарты түзүлөт. Эстутум RST желеги иштетилгенден кийин дароо бошотулбагандыктан, байланыш жабылгандан кийин гана, чабуулчу жаңы суроо-талаптарды жөнөтүп, аларды RST пакети менен жууп, бирок туташууну жаппастан, эстутум керектөөсүн кыйла көбөйтө алат.
- CVE-2023-43622 – HTTP/2 туташуусун иштетүү чексиз мөөнөткө блоктолот, эгерде ал баштапкы жылма терезенин өлчөмү 0гө коюлган болсо. Алсыздык ачык туташуулардын максималдуу санынын чегинен ашып, кызмат көрсөтүүдөн баш тартуу үчүн колдонулушу мүмкүн.
- CVE-2023-31122 - бул бөлүнгөн буферден тышкаркы аймактан маалыматтарды окууга мүмкүндүк берген mod_macroдагы аялуу.
Коопсуздук эмес өзгөртүүлөр арасында:
- mod_http2 HTTP/2 туташуусундагы агым аркылуу WebSocket протоколун колдонуу үчүн колдоону кошот (RFC 8441). HTTP/2 аркылуу WebSocketти иштетүү үчүн "H2WebSockets on|off" директивасы сунушталды.
- "2 Эрте кеңеш" жообуна аталыштарды кошуу үчүн mod_http2ге "H103EarlyHint name value" директивасы кошулду.
- HTTP/2 сурамдарын иштетүү прокси конфигурациясында иштетилгенин көзөмөлдөө үчүн mod_http2ге "H2ProxyRequests on|off" директивасы кошулду.
- HTTP/2деги бир DATA кадрында берилүүчү байттарда жооп корпусунун максималдуу өлчөмүн чектөө үчүн mod_http2ге 'H2MaxDataFrameLen n' директивасы кошулду. Демейки чек 16KB болуп саналат.
- Жаңыртылган mime.types файлы ".js" кеңейтүүсүн "тиркеме/javascript" ордуна "текст/javascript" түрүнө туташтыруу үчүн жана төмөнкү кеңейтүүлөр кошулду: ".mjs" ("текст/javascript" түрү менен) жана " .opus" ('аудио/ogg'). WebAssemblyде колдонулган MIME түрлөрү жана кеңейтүүлөр кошулду.
- mod_tls модулу (Rust тилиндеги mod_sslге альтернатива) rustls-ffi 0.9.2+ китепканасын колдонуу үчүн которулган.
- MDomains VirtualHosts мазмунуна кантип дал келгенин көзөмөлдөө үчүн mod_md модулуна "MDMatchNames all|servernames" директивасы кошулду.
- DNS текшерүү үчүн колдонулган ACME протоколунун версиясын тандоо үчүн mod_md модулуна 'MDChallengeDns01Version' директивасы кошулду.
- mod_md ичинде MDChallengeDns01 директивасын жеке адамдар үчүн колдонууга уруксат берилет доменов.
- WebDav репозиторийинин тамырына жолду конфигурациялоо үчүн mod_davге "DavBasePath" директивасы кошулду.
- "AliasPreservePath" директивасы mod_alias'ка Жайгашкан жер блогундагы Alias маанисин толук жол катары колдонуу үчүн кошулду.
- "RedirectRelative" директивасы mod_alias'ка кошулуп, салыштырмалуу жолдорду колдонуу менен кайра багыттоого мүмкүндүк берет.
- %{z} жана %{strftime-format} формат спецификациялары ErrorLogFormat директивасына кошулду.
- Кысуу колдонулганда ETag кандай өзгөрүшүн көзөмөлдөө үчүн mod_deflate үчүн "DeflateAlterETag" директивасы кошулду.
- send_brigade_nonblocking() функциясынын иштеши оптималдаштырылды.
- Mod_status "BusyWorkers" жана "IdleWorkers" дубликат ачкычтары алынып салынышын жана "GracefulWorkers" жаңы эсептегичинин кошулушун камсыздайт.
Source: opennet.ru
