Apache HTTP servera 2.4.41 izlaidums (izlaidums 2.4.40 tika izlaists), kas ieviesa un likvidÄts :
- ir mod_http2 problÄma, kas var izraisÄ«t atmiÅas bojÄjumus, sÅ«tot push pieprasÄ«jumus ļoti agrÄ«nÄ stadijÄ. Izmantojot iestatÄ«jumu "H2PushResource", ir iespÄjams pÄrrakstÄ«t atmiÅu pieprasÄ«jumu apstrÄdes pÅ«lÄ, taÄu problÄma ir tikai avÄrija, jo ierakstÄmie dati nav balstÄ«ti uz informÄciju, kas saÅemta no klienta;
- - nesenÄ ekspozÄ«cija DoS ievainojamÄ«bas HTTP/2 ievieÅ”anÄ.
UzbrucÄjs var iztÄrÄt procesam pieejamo atmiÅu un radÄ«t lielu CPU slodzi, atverot bÄ«dÄmu HTTP/2 logu, lai serveris varÄtu nosÅ«tÄ«t datus bez ierobežojumiem, bet paturot TCP logu aizvÄrtu, tÄdÄjÄdi novÄrÅ”ot datu reÄlu ierakstÄ«Å”anu ligzdÄ; - - problÄma mod_rewrite, kas ļauj izmantot serveri, lai pÄrsÅ«tÄ«tu pieprasÄ«jumus uz citiem resursiem (open redirect). Dažu mod_rewrite iestatÄ«jumu rezultÄtÄ lietotÄjs var tikt pÄrsÅ«tÄ«ts uz citu saiti, kas ir kodÄta, izmantojot jaunÄs rindiÅas rakstzÄ«mi parametrÄ, kas tiek izmantots esoÅ”ajÄ novirzÄ«Å”anÄ. Lai bloÄ·Ätu problÄmu RegexDefaultOptions, varat izmantot karodziÅu PCRE_DOTALL, kas tagad ir iestatÄ«ts pÄc noklusÄjuma;
- - iespÄja veikt starpvietÅu skriptÄÅ”anu kļūdu lapÄs, ko parÄda mod_proxy. Å ajÄs lapÄs saite satur no pieprasÄ«juma iegÅ«to URL, kurÄ uzbrucÄjs var ievietot patvaļīgu HTML kodu, izmantojot rakstzÄ«mju atkÄpÅ”anos;
- ā steka pÄrpilde un NULL rÄdÄ«tÄja novirzÄ«Å”ana mod_remoteip, ko izmanto, manipulÄjot ar PROXY protokola galveni. Uzbrukumu var veikt tikai no iestatÄ«jumos izmantotÄ starpniekservera puses, nevis ar klienta pieprasÄ«jumu;
- - mod_http2 ievainojamÄ«ba, kas savienojuma pÄrtraukÅ”anas brÄ«dÄ« ļauj sÄkt satura nolasÄ«Å”anu no jau atbrÄ«votas atmiÅas apgabala (nolasÄ«Å”ana pÄc brÄ«vas).
IevÄrojamÄkÄs ar droŔību nesaistÄ«tÄs izmaiÅas:
- mod_proxy_balancer ir uzlabojusi aizsardzību pret XSS/XSRF uzbrukumiem no uzticamiem vienaudžiem;
- SessionExpiryUpdateInterval iestatÄ«jums ir pievienots mod_session, lai noteiktu intervÄlu sesijas/sÄ«kfaila derÄ«guma termiÅa atjauninÄÅ”anai;
- Lapas ar kļūdÄm tika iztÄ«rÄ«tas, lai novÄrstu informÄcijas parÄdÄ«Å”anu no pieprasÄ«jumiem Å”ajÄs lapÄs;
- mod_http2 Åem vÄrÄ parametra āLimitRequestFieldSizeā vÄrtÄ«bu, kas iepriekÅ” bija derÄ«ga tikai HTTP/1.1 galvenes lauku pÄrbaudei;
- NodroÅ”ina mod_proxy_hcheck konfigurÄcijas izveidi, kad to izmanto BalancerMember;
- SamazinÄts atmiÅas patÄriÅÅ” mod_dav, ja tiek izmantota komanda PROPFIND lielai kolekcijai;
- ProgrammÄ mod_proxy un mod_ssl ir atrisinÄtas problÄmas ar sertifikÄta un SSL iestatÄ«jumu norÄdÄ«Å”anu starpniekservera blokÄ;
- mod_proxy ļauj SSLProxyCheckPeer* iestatījumus lietot visiem starpniekservera moduļiem;
- Moduļa iespÄjas ir paplaÅ”inÄtas , Å ifrÄsim projektu, lai automatizÄtu sertifikÄtu saÅemÅ”anu un uzturÄÅ”anu, izmantojot ACME (automÄtiskÄs sertifikÄtu pÄrvaldÄ«bas vides) protokolu:
- Pievienota otrÄ protokola versija , kas tagad ir noklusÄjuma un tukÅ”i POST pieprasÄ«jumi, nevis GET.
- Pievienots atbalsts verifikÄcijai, pamatojoties uz paplaÅ”inÄjumu TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), kas tiek izmantots HTTP/2.
- VerifikÄcijas metodes ātls-sni-01ā atbalsts ir pÄrtraukts (sakarÄ ar ).
- Pievienotas komandas pÄrbaudes iestatÄ«Å”anai un pÄrtraukÅ”anai, izmantojot 'dns-01' metodi.
- Pievienots atbalsts sertifikÄtos, kad ir iespÄjota uz DNS balstÄ«ta pÄrbaude ("dns-01").
- Ieviests āmd-statusā apdarinÄtÄjs un sertifikÄta statusa lapa āhttps://domain/.httpd/certificate-statusā.
- Pievienotas "MDCertificateFile" un "MDCertificateKeyFile" direktÄ«vas domÄna parametru konfigurÄÅ”anai, izmantojot statiskus failus (bez automÄtiskÄs atjauninÄÅ”anas atbalsta).
- Pievienota "MDMessageCmd" direktÄ«va, lai izsauktu ÄrÄjÄs komandas, kad notiek "atjaunots", "beidzas" vai "kļūdains" notikums.
- Pievienota "MDWarnWindow" direktÄ«va, lai konfigurÄtu brÄ«dinÄjuma ziÅojumu par sertifikÄta derÄ«guma termiÅu;
Avots: opennet.ru
