ослободување на Apache HTTP серверот 2.4.46 (изданијата 2.4.44 и 2.4.45 беа прескокнати), кој го претстави и елиминирани :
- — прелевање на баферот во модулот mod_proxy_uwsgi, што може да доведе до истекување на информации или извршување на код на серверот при испраќање специјално изработено барање. Ранливоста се искористува со испраќање на многу долго HTTP заглавие. За заштита, додадено е блокирање на заглавија подолги од 16K (ограничување дефинирано во спецификацијата на протоколот).
- — ранливост во модулот mod_http2 што дозволува процесот да падне при испраќање барање со специјално дизајниран заглавие HTTP/2. Проблемот се манифестира кога дебагирањето или следењето е овозможено во модулот mod_http2 и се рефлектира во оштетување на содржината на меморијата поради состојба на трка при зачувување на информации во дневникот. Проблемот не се појавува кога LogLevel е поставен на „info“.
- — ранливост во модулот mod_http2 што дозволува процесот да падне при испраќање барање преку HTTP/2 со специјално дизајнирана вредност на заглавието „Cache-Digest“ (падот се случува кога се обидува да изврши операција HTTP/2 PUSH на ресурс) . За да ја блокирате ранливоста, можете да ја користите поставката „H2Push off“.
- — ранливоста на mod_remoteip, која ви овозможува да ги измамите IP адресите за време на прокси користејќи mod_remoteip и mod_rewrite. Проблемот се појавува само за изданијата од 2.4.1 до 2.4.23.
Најзабележителни небезбедни промени се:
- Поддршката за нацрт спецификацијата е отстранета од mod_http2 , чија промоција е стопирана.
- Го смени однесувањето на директивата „LimitRequestFields“ во mod_http2, наведувајќи вредност од 0 сега го оневозможува лимитот.
- mod_http2 обезбедува обработка на примарни и секундарни (главни/секундарни) врски и означување на методите во зависност од употребата.
- Ако се прими неточна содржина на заглавие со Последно изменето од скрипта FCGI/CGI, ова заглавие сега е отстрането наместо да се замени во време на епоха на Unix.
- Функцијата ap_parse_strict_length() е додадена во кодот за строго да се анализира големината на содржината.
- ProxyFCGISetEnvIf на Mod_proxy_fcgi осигурува дека променливите на околината се отстранети ако дадениот израз врати False.
- Поправена состојба на трка и можен пад на mod_ssl при користење на клиентски сертификат наведен преку поставката SSLProxyMachineCertificateFile.
- Поправено истекување на меморијата во mod_ssl.
- mod_proxy_http2 обезбедува употреба на параметарот прокси "» при проверка на функционалноста на нова или повторно употребена врска со задниот дел.
- Престана да го врзува httpd со опцијата „-lsystemd“ кога е овозможено mod_systemd.
- mod_proxy_http2 осигурува дека поставката ProxyTimeout е земена предвид кога се чекаат дојдовни податоци преку поврзување со задниот дел.
Извор: opennet.ru