Verëffentlechung vum Apache HTTP Server 2.4.41 (Verëffentlechung 2.4.40 gouf iwwersprangen), deen agefouert huet an eliminéiert :
- ass en Thema am mod_http2 dat zu Erënnerungskorruptioun féiere kann wann Dir Push-Ufroen op eng ganz fréi Stuf schéckt. Wann Dir d'Astellung "H2PushResource" benotzt, ass et méiglech Erënnerung am Ufroveraarbechtungspool ze iwwerschreiwe, awer de Problem ass limitéiert op e Crash, well d'Donnéeën déi geschriwwe ginn net op Informatioun vum Client kritt hunn;
- - rezent Beliichtung DoS Schwachstelle bei HTTP/2 Implementatiounen.
En Ugräifer kann d'Erënnerung, déi zu engem Prozess verfügbar ass, erschéngen an eng schwéier CPU-Laascht erstellen andeems Dir eng rutscht HTTP/2-Fënster opmaacht fir de Server Daten ouni Restriktiounen ze schécken, awer d'TCP-Fënster zou ze halen, verhënnert datt d'Donnéeën tatsächlech an de Socket geschriwwe ginn; - - e Problem am mod_rewrite, wat Iech erlaabt de Server ze benotzen fir Ufroen un aner Ressourcen weiderzebréngen (oppe Viruleedung). E puer mod_rewrite Astellunge kënnen dozou féieren datt de Benotzer op en anere Link weidergeleet gëtt, kodéiert mat engem Newline Charakter an engem Parameter deen an enger existéierender Viruleedung benotzt gëtt. Fir de Problem an RegexDefaultOptions ze blockéieren, kënnt Dir de PCRE_DOTALL Fändel benotzen, deen elo als Standard gesat gëtt;
- - d'Fäegkeet fir Cross-Site Scripting op Fehlersäiten ze maachen, déi vum mod_proxy ugewise ginn. Op dëse Säiten enthält de Link d'URL, déi aus der Ufro kritt gëtt, an där en Ugräifer arbiträr HTML-Code duerch Zeeche-Entkommen asetzen kann;
- - Stack Iwwerschwemmung an NULL Pointer Dereferenz am mod_remoteip, exploitéiert duerch Manipulatioun vum PROXY Protokoll Header. D'Attack kann nëmme vun der Säit vum Proxy-Server ausgefouert ginn, deen an den Astellungen benotzt gëtt, an net duerch eng Client Ufro;
- - eng Schwachstelle am mod_http2, déi et erlaabt, am Moment vun der Verbindungsophiewung, d'Liesen vun Inhalter aus engem scho befreit Erënnerungsberäich ze initiéieren (liesen-no-gratis).
Déi bemierkenswäert Net-Sécherheetsännerungen:
- mod_proxy_balancer huet de Schutz géint XSS / XSRF Attacke vu vertrauenswürdege Peer verbessert;
- Eng SessionExpiryUpdateInterval-Astellung gouf op mod_session bäigefüügt fir den Intervall fir d'Aktualiséierung vun der Sessioun/Cookie-Verfallszäit ze bestëmmen;
- Säiten mat Fehler goufen gebotzt, fir d'Ausféierung vun Informatioun aus Ufroen op dëse Säiten ze eliminéieren;
- mod_http2 berücksichtegt de Wäert vum "LimitRequestFieldSize" Parameter, dee virdru nëmme valabel war fir HTTP / 1.1 Header Felder ze kontrolléieren;
- Assuréiert datt mod_proxy_hcheck Konfiguratioun erstallt gëtt wann se am BalancerMember benotzt ginn;
- Reduzéiert Erënnerung Konsum am mod_dav wann Dir de PROPFIND Kommando op enger grousser Sammlung benotzt;
- Am mod_proxy a mod_ssl sinn d'Problemer mat der spezifizéieren vun Zertifikat an SSL Astellungen am Proxy Block geléist;
- mod_proxy erlaabt SSLProxyCheckPeer * Astellunge fir all Proxy Moduler applizéiert ginn;
- Modul Kënnen erweidert , Loosst eis de Projet verschlësselen fir d'Empfang an d'Ënnerhalt vun Certificaten ze automatiséieren mam ACME (Automatic Certificate Management Environment) Protokoll:
- Zweet Versioun vum Protokoll dobäigesat , wat elo de Standard an eidel POST Ufroen amplaz GET.
- Zousätzlech Ënnerstëtzung fir Verifizéierung baséiert op der TLS-ALPN-01 Extensioun (RFC 7301, Application-Layer Protocol Negotiation), déi an HTTP/2 benotzt gëtt.
- Ënnerstëtzung fir d''tls-sni-01' Verifizéierungsmethod gouf gestoppt (wéinst ).
- Befehle bäigefüügt fir de Scheck opzestellen an ze briechen mat der 'dns-01' Method.
- Zousätzlech Ënnerstëtzung an Certificaten wann DNS-baséiert Verifizéierung aktivéiert ass ('dns-01').
- Implementéiert 'md-status' Handler an Zertifikat Status Säit 'https://domain/.httpd/certificate-status'.
- Zousätzlech "MDCertificateFile" an "MDCertificateKeyFile" Direktiven fir d'Konfiguratioun vun Domainparameter duerch statesch Dateien (ouni Auto-Update Support).
- "MDMessageCmd" Direktiv bäigefüügt fir extern Kommandoen ze ruffen wann 'erneiert', 'auslafen' oder 'fehlerhaft' Eventer optrieden.
- Derbäigesat "MDWarnWindow" Direktiv fir eng Warnungsmeldung iwwer d'Verfall vum Zertifika ze konfiguréieren;
Source: opennet.ru