Apache 2.4.58 http servera izlaišana ar HTTP/2 DoS ievainojamību novēršanu

Publicēts Apache HTTP servera 2.4.58 izlaidums, kas ievieš 33 izmaiņas un novērš trīs ievainojamības, no kurām divas saistītas ar iespēju veikt DoS uzbrukumu sistēmām, izmantojot HTTP/2 protokolu.

• CVE-2023-45802 Atmiņas izsmelšanas nosacījums tiek izveidots aizkavētas atmiņas atdalīšanas dēļ pēc tam, kad HTTP/2 straume ir atiestatīta, izmantojot paketi ar RST karogu. Tā kā atmiņa netiek atbrīvota uzreiz pēc RST karoga apstrādes, bet tikai pēc savienojuma aizvēršanas, uzbrucējs var ievērojami palielināt atmiņas patēriņu, nosūtot jaunus pieprasījumus un izskalojot tos ar RST paketi, bet neslēdzot savienojumu.
• CVE-2023-43622 — HTTP/2 savienojuma apstrādes bloki uz nenoteiktu laiku, ja tas tika atvērts ar sākotnējo bīdāmā loga izmēru, kas iestatīts uz 0. Ievainojamību var izmantot, lai izraisītu pakalpojuma atteikumu, pārsniedzot maksimāli atļauto atvērto savienojumu skaita ierobežojumu.
• CVE-2023-31122 ir mod_macro ievainojamība, kas ļauj nolasīt datus no apgabala ārpus piešķirtā bufera.

Ar drošību nesaistītas izmaiņas ietver:

• mod_http2 pievieno atbalstu WebSocket protokola lietošanai straumē HTTP/2 savienojumā (RFC 8441). Lai iespējotu WebSocket, izmantojot HTTP/2, ir ierosināta direktīva H2WebSockets on|off.
• Mod_http2 ir pievienota direktīva "H2EarlyHint nosaukuma vērtība", lai pievienotu galvenes atbildei "103 Early Hints".
• Vietnei mod_http2 ir pievienota direktīva “H2ProxyRequests on|off”, lai kontrolētu, vai starpniekservera konfigurācijā ir iespējota HTTP/2 pieprasījumu apstrāde.
• Direktīvu “H2MaxDataFrameLen n” pievienoja mod_http2, lai ierobežotu atbildes korpusa maksimālo lielumu baitos, kas tiek pārsūtīti vienā DATA kadrā HTTP/2. Noklusējuma ierobežojums ir 16 KB.
• Atjaunināts fails mime.types, kurā paplašinājums “.js” ir saistīts ar “text/javascript” tipu, nevis “application/javascript”, un pievienoti paplašinājumi: “.mjs” (ar “text/javascript” tipu ) un ".opus" ('audio/ogg'). Pievienoti MIME veidi un paplašinājumi, kas tiek izmantoti WebAssembly.
• Mod_tls modulis (alternatīva mod_ssl Rust valodā) ir tulkots, lai izmantotu rustls-ffi 0.9.2+ bibliotēku.
• Modulim mod_md ir pievienota direktīva 'MDMatchNames all|servernames', lai kontrolētu, kā MDomains tiek saskaņots ar VirtualHosts saturu.
• Modulim mod_md ir pievienota direktīva 'MDChallengeDns01Version', lai atlasītu DNS verifikācijai izmantoto ACME protokola versiju.
• Mod_md versijā MDChallengeDns01 direktīvas izmantošana ir atļauta atsevišķām domēni.
• Pievienota 'DavBasePath' direktīva mod_dav, lai konfigurētu ceļu uz WebDav repozitorija sakni.
• Mod_alias ir pievienota direktīva “AliasPreservePath”, lai izmantotu Alias vērtību blokā Location kā pilnu ceļu.
• Pievienota mod_alias direktīva RedirectRelative, kas ļauj novirzīt, izmantojot relatīvos ceļus.
• ErrorLogFormat direktīvai ir pievienoti formāta specifikācijas %{z} un %{strftime-format}.
• Pievienota mod_deflate direktīva "DeflateAlterETag", lai kontrolētu, kā ETag mainās, kad tiek izmantota saspiešana.
• Funkcijas send_brigade_nonblocking() veiktspēja ir optimizēta.
• Mod_status nodrošina, ka tiek noņemtas dublētās atslēgas "BusyWorkers" un "IdleWorkers", kā arī tiek pievienots jauns skaitītājs "GracefulWorkers".

Avots: opennet.ru