Apache HTTP serverio 2.4.41 leidimas (2.4.40 leidimas buvo praleistas), kuris pristatė ir pašalintas :
- yra mod_http2 problema, dėl kurios gali būti sugadinta atmintis siunčiant užklausas labai ankstyvoje stadijoje. Naudojant „H2PushResource“ nustatymą, galima perrašyti atmintį užklausų apdorojimo telkinyje, tačiau problema apsiriboja gedimu, nes rašomi duomenys nėra pagrįsti iš kliento gauta informacija;
- - nesena ekspozicija DoS pažeidžiamumas HTTP/2 diegimuose.
Užpuolikas gali išnaudoti procesui skirtą atmintį ir sukurti didelę procesoriaus apkrovą, atidarydamas slankiojantį HTTP/2 langą, kad serveris galėtų siųsti duomenis be apribojimų, tačiau laikydamas TCP langą uždarytą, neleisdamas iš tikrųjų įrašyti duomenų į lizdą; - - mod_rewrite problema, leidžianti naudoti serverį užklausoms persiųsti į kitus išteklius (atviras peradresavimas). Dėl kai kurių mod_rewrite nustatymų vartotojas gali būti peradresuotas į kitą nuorodą, užkoduotą naudojant naujos eilutės simbolį parametre, kuris naudojamas esamame peradresavime. Norėdami užblokuoti problemą RegexDefaultOptions, galite naudoti žymą PCRE_DOTALL, kuri dabar nustatyta pagal numatytuosius nustatymus;
- - galimybė atlikti kelių svetainių scenarijus klaidų puslapiuose, rodomuose mod_proxy. Šiuose puslapiuose nuorodoje yra iš užklausos gautas URL, į kurį užpuolikas gali įterpti savavališką HTML kodą naudodamas simbolių pašalinimą;
- — dėklo perpildymas ir NULL rodyklės nuoroda mod_remoteip, išnaudojama manipuliuojant PROXY protokolo antrašte. Ataka gali būti vykdoma tik iš nustatymuose naudojamo tarpinio serverio pusės, o ne pagal kliento užklausą;
- - mod_http2 pažeidžiamumas, leidžiantis nutraukus ryšį pradėti turinio nuskaitymą iš jau atlaisvintos atminties srities (nemokamas skaitymas).
Ryškiausi su saugumu nesusiję pokyčiai:
- mod_proxy_balancer pagerino apsaugą nuo XSS/XSRF atakų iš patikimų partnerių;
- SessionExpiryUpdateInterval nustatymas buvo pridėtas prie mod_session, siekiant nustatyti seanso / slapuko galiojimo laiko atnaujinimo intervalą;
- Puslapiai su klaidomis buvo išvalyti, siekiant pašalinti informacijos rodymą iš užklausų šiuose puslapiuose;
- mod_http2 atsižvelgia į parametro „LimitRequestFieldSize“ reikšmę, kuri anksčiau galiojo tik HTTP/1.1 antraštės laukams tikrinti;
- Užtikrina, kad mod_proxy_hcheck konfigūracija būtų sukurta, kai naudojama BalancerMember;
- Sumažintas atminties suvartojimas mod_dav naudojant PROPFIND komandą didelėje kolekcijoje;
- Mod_proxy ir mod_ssl problemos, susijusios su sertifikato ir SSL nustatymų nurodymu Proxy bloke, buvo išspręstos;
- mod_proxy leidžia SSLProxyCheckPeer* nustatymus taikyti visiems tarpinio serverio moduliams;
- Modulio galimybės išplėstos , Užšifruokime projektą, skirtą sertifikatų gavimo ir priežiūros automatizavimui naudojant ACME (automatinio sertifikatų valdymo aplinkos) protokolą:
- Pridėta antroji protokolo versija , kuris dabar yra numatytasis ir tuščios POST užklausos, o ne GET.
- Pridėtas patvirtinimo palaikymas, pagrįstas TLS-ALPN-01 plėtiniu (RFC 7301, Application-Layer Protocol Negotiation), kuris naudojamas HTTP/2.
- „tls-sni-01“ patvirtinimo metodo palaikymas buvo nutrauktas (dėl ).
- Pridėtos komandos, skirtos nustatyti ir panaikinti patikrinimą naudojant „dns-01“ metodą.
- Pridėta parama sertifikatuose, kai įjungtas DNS patvirtinimas („dns-01“).
- Įdiegta „md-status“ tvarkytuvė ir sertifikato būsenos puslapis „https://domain/.httpd/certificate-status“.
- Pridėtos „MDCertificateFile“ ir „MDCertificateKeyFile“ direktyvos, skirtos domeno parametrams konfigūruoti naudojant statinius failus (be automatinio atnaujinimo palaikymo).
- Pridėta „MDMessageCmd“ direktyva, skirta iškviesti išorines komandas, kai įvyksta „atnaujinami“, „galiojasi“ arba „klaidingai“.
- Pridėta „MDWarnWindow“ direktyva, skirta konfigūruoti įspėjimo pranešimą apie sertifikato galiojimo pabaigą;
Šaltinis: opennet.ru
