ProHoster > Blog > Internet Neiegkeeten > Verëffentlechung vum Apache 2.4.58 http Server mat Eliminatioun vun DoS Schwachstelle bei HTTP/2

Verëffentlechung vum Apache 2.4.58 http Server mat Eliminatioun vun DoS Schwachstelle bei HTTP/2

D'Verëffentlechung vum Apache HTTP-Server 2.4.58 gouf publizéiert, deen 33 Ännerungen virstellt an dräi Schwachstelle eliminéiert, vun deenen zwee mat der Méiglechkeet sinn, en DoS Attack op Systemer auszeféieren, déi den HTTP/2 Protokoll benotzen.

  • CVE-2023-45802 E Gedächtnisausschöpfungskonditioun gëtt erstallt wéinst enger verspéiter Erënnerungsdeallokatioun nodeems en HTTP/2 Stream vun engem Paket mam RST Fändel zréckgesat gëtt. Zënter datt d'Erënnerung net direkt verëffentlecht gëtt nodeems de RST-Fändel veraarbecht ass, awer nëmmen nodeems d'Verbindung zougemaach ass, kann en Ugräifer de Gedächtnisverbrauch wesentlech erhéijen andeems se nei Ufroe schécken an se mat engem RST-Paket spülen, awer ouni d'Verbindung zouzemaachen.
  • CVE-2023-43622 - HTTP/2 Verbindungsveraarbechtung blockéiert onbestëmmt wann et mat der initialer Schieberfenstergréisst op 0 opgemaach gouf. D'Schwachheet kann benotzt ginn fir e Verweigerung vum Service ze verursaachen andeems d'Limite op déi maximal erlaabt Zuel vun oppene Verbindungen iwwerschratt.
  • CVE-2023-31122 ass eng Schwachstelle am mod_macro, déi et erlaabt Daten aus engem Gebitt ausserhalb vum zougewisen Puffer ze liesen.

Ënnert den net-Sécherheetsännerungen:

  • mod_http2 füügt Ënnerstëtzung fir de WebSocket Protokoll iwwer e Stroum an enger HTTP/2 Verbindung (RFC 8441) ze benotzen. Fir WebSocket iwwer HTTP/2 z'aktivéieren, ass d''H2WebSockets on|off' Direktiv proposéiert ginn.
  • D'Direktiv 'H2EarlyHint Nummwäert' op mod_http2 bäigefüügt fir Header un d'Äntwert "103 Early Hints" ze addéieren.
  • Derbäigesat 'H2ProxyRequests on|off' Direktiv op mod_http2 fir ze kontrolléieren ob HTTP/2 Ufro Veraarbechtung an der Proxy Konfiguratioun aktivéiert ass.
  • D''H2MaxDataFrameLen n' Direktiv gouf op mod_http2 bäigefüügt fir d'maximal Gréisst vum Äntwertkierper a Bytes ze limitéieren, déi an engem DATA Frame an HTTP/2 iwwerdroen ginn. D'Standardlimit ass 16KB.
  • Aktualiséiert mime.types Datei fir d'Verlängerung ".js" un den Typ 'Text/Javascript' anstatt 'Applikatioun/Javascript' ze binden an déi folgend Extensiounen bäigefüügt: ".mjs" (mat dem Typ 'Text/Javascript') an " .opus" ( 'audio/ogg'). Derbäigesat MIME Typen an Extensiounen benotzt an WebAssembly.
  • De mod_tls Modul (eng Alternativ zu mod_ssl an der Rust Sprooch) gouf iwwersat fir d'rustls-ffi 0.9.2+ Bibliothéik ze benotzen.
  • 'MDMatchNames all|Servernames' Direktiv an de mod_md Modul bäigefüügt fir ze kontrolléieren wéi MDomeins mat VirtualHosts Inhalter passen.
  • D'Direktiv 'MDChallengeDns01Version' gouf am mod_md Modul bäigefüügt fir d'ACME Protokoll Versioun ze wielen déi fir DNS Verifizéierung benotzt gëtt.
  • An mod_md ass d'Benotzung vun der MDChallengeDns01-Direktiv fir eenzel Persounen erlaabt. Domainen.
  • D'DavBasePath Direktiv op mod_dav bäigefüügt fir de Wee op d'Wuerzel vum WebDav Repository ze konfiguréieren.
  • Added 'AliasPreservePath' Direktiv op mod_alias fir den Alias ​​​​Wäert am Location Block als de komplette Wee ze benotzen.
  • 'RedirectRelative' Direktiv op mod_alias bäigefüügt, wat Viruleedung erlaabt mat relative Weeër.
  • D'Formatspezifizéierer %{z} an %{strftime-format} goufen an d'ErrorLogFormat-Direktiv bäigefüügt.
  • Derbäigesat 'DeflateAlterETag' Direktiv zu mod_deflate fir ze kontrolléieren wéi ETag ännert wann d'Kompressioun benotzt gëtt.
  • D'Performance vun der Send_brigade_nonblocking () Funktioun gouf optimiséiert.
  • Mod_status garantéiert datt duplizéiert Schlësselen "BusyWorkers" an "IdleWorkers" geläscht ginn, an en neie Konter "GracefulWorkers" gëtt bäigefüügt.

Source: opennet.ru

Setzt e Commentaire