Apache HTTP servera 2.4.41 izlaidums (izlaidums 2.4.40 tika izlaists), kas ieviesa un likvidēts :
- ir mod_http2 problēma, kas var izraisīt atmiņas bojājumus, sūtot push pieprasījumus ļoti agrīnā stadijā. Izmantojot iestatījumu "H2PushResource", ir iespējams pārrakstīt atmiņu pieprasījumu apstrādes pūlā, taču problēma ir tikai avārija, jo ierakstāmie dati nav balstīti uz informāciju, kas saņemta no klienta;
- - nesenā ekspozīcija DoS ievainojamības HTTP/2 ieviešanā.
Uzbrucējs var iztērēt procesam pieejamo atmiņu un radīt lielu CPU slodzi, atverot bīdāmu HTTP/2 logu, lai serveris varētu nosūtīt datus bez ierobežojumiem, bet paturot TCP logu aizvērtu, tādējādi novēršot datu reālu ierakstīšanu ligzdā; - - problēma mod_rewrite, kas ļauj izmantot serveri, lai pārsūtītu pieprasījumus uz citiem resursiem (open redirect). Dažu mod_rewrite iestatījumu rezultātā lietotājs var tikt pārsūtīts uz citu saiti, kas ir kodēta, izmantojot jaunās rindiņas rakstzīmi parametrā, kas tiek izmantots esošajā novirzīšanā. Lai bloķētu problēmu RegexDefaultOptions, varat izmantot karodziņu PCRE_DOTALL, kas tagad ir iestatīts pēc noklusējuma;
- - iespēja veikt starpvietņu skriptēšanu kļūdu lapās, ko parāda mod_proxy. Šajās lapās saite satur no pieprasījuma iegūto URL, kurā uzbrucējs var ievietot patvaļīgu HTML kodu, izmantojot rakstzīmju atkāpšanos;
- — steka pārpilde un NULL rādītāja novirzīšana mod_remoteip, ko izmanto, manipulējot ar PROXY protokola galveni. Uzbrukumu var veikt tikai no iestatījumos izmantotā starpniekservera puses, nevis ar klienta pieprasījumu;
- - mod_http2 ievainojamība, kas savienojuma pārtraukšanas brīdī ļauj sākt satura nolasīšanu no jau atbrīvotas atmiņas apgabala (nolasīšana pēc brīvas).
Ievērojamākās ar drošību nesaistītās izmaiņas:
- mod_proxy_balancer ir uzlabojusi aizsardzību pret XSS/XSRF uzbrukumiem no uzticamiem vienaudžiem;
- SessionExpiryUpdateInterval iestatījums ir pievienots mod_session, lai noteiktu intervālu sesijas/sīkfaila derīguma termiņa atjaunināšanai;
- Lapas ar kļūdām tika iztīrītas, lai novērstu informācijas parādīšanu no pieprasījumiem šajās lapās;
- mod_http2 ņem vērā parametra “LimitRequestFieldSize” vērtību, kas iepriekš bija derīga tikai HTTP/1.1 galvenes lauku pārbaudei;
- Nodrošina mod_proxy_hcheck konfigurācijas izveidi, kad to izmanto BalancerMember;
- Samazināts atmiņas patēriņš mod_dav, ja tiek izmantota komanda PROPFIND lielai kolekcijai;
- Programmā mod_proxy un mod_ssl ir atrisinātas problēmas ar sertifikāta un SSL iestatījumu norādīšanu starpniekservera blokā;
- mod_proxy ļauj SSLProxyCheckPeer* iestatījumus lietot visiem starpniekservera moduļiem;
- Moduļa iespējas ir paplašinātas , Šifrēsim projektu, lai automatizētu sertifikātu saņemšanu un uzturēšanu, izmantojot ACME (automātiskās sertifikātu pārvaldības vides) protokolu:
- Pievienota otrā protokola versija , kas tagad ir noklusējuma un tukši POST pieprasījumi, nevis GET.
- Pievienots atbalsts verifikācijai, pamatojoties uz paplašinājumu TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), kas tiek izmantots HTTP/2.
- Verifikācijas metodes “tls-sni-01” atbalsts ir pārtraukts (sakarā ar ).
- Pievienotas komandas pārbaudes iestatīšanai un pārtraukšanai, izmantojot 'dns-01' metodi.
- Pievienots atbalsts sertifikātos, kad ir iespējota uz DNS balstīta pārbaude ("dns-01").
- Ieviests “md-status” apdarinātājs un sertifikāta statusa lapa “https://domain/.httpd/certificate-status”.
- Pievienotas "MDCertificateFile" un "MDCertificateKeyFile" direktīvas domēna parametru konfigurēšanai, izmantojot statiskus failus (bez automātiskās atjaunināšanas atbalsta).
- Pievienota "MDMessageCmd" direktīva, lai izsauktu ārējās komandas, kad notiek "atjaunots", "beidzas" vai "kļūdains" notikums.
- Pievienota "MDWarnWindow" direktīva, lai konfigurētu brīdinājuma ziņojumu par sertifikāta derīguma termiņu;
Avots: opennet.ru