ослободување на Apache HTTP серверот 2.4.41 (изданието 2.4.40 беше прескокнато), кој воведе и елиминирани :
- е проблем во mod_http2 што може да доведе до оштетување на меморијата кога се испраќаат барања за притисни во многу рана фаза. При користење на поставката „H2PushResource“, можно е да се презапише меморијата во базенот за обработка на барањата, но проблемот е ограничен на паѓање бидејќи податоците што се пишуваат не се засноваат на информации добиени од клиентот;
- - неодамнешна изложеност Пропусти на DoS во имплементациите на HTTP/2.
Напаѓачот може да ја исцрпи меморијата достапна за процесот и да создаде големо оптоварување на процесорот со отворање на лизгачки прозорец HTTP/2 за серверот да испраќа податоци без ограничувања, но држејќи го прозорецот TCP затворен, спречувајќи податоци всушност да се запишуваат во сокетот; - - проблем во mod_rewrite, кој ви овозможува да го користите серверот за препраќање барања до други ресурси (отворен пренасочување). Некои поставки за mod_rewrite може да резултираат со препраќање на корисникот на друга врска, кодирана со помош на знак од нова линија во параметар што се користи во постоечко пренасочување. За да го блокирате проблемот во RegexDefaultOptions, можете да го користите знамето PCRE_DOTALL, кое сега е стандардно поставено;
- - способност да се изврши скриптирање меѓу страници на грешки прикажани од mod_proxy. На овие страници, врската ја содржи URL-адресата добиена од барањето, во која напаѓачот може да вметне произволен HTML код преку бегство на знаци;
- — прелевање на стек и дереференција на покажувачот NULL во mod_remoteip, експлоатирани преку манипулација со заглавието на протоколот PROXY. Нападот може да се изврши само од страната на прокси-серверот што се користи во поставките, а не преку барање на клиентот;
- - ранливост во mod_http2 што овозможува, во моментот на прекинување на врската, да се иницира читање на содржината од веќе ослободена мемориска област (читање по бесплатно).
Најзабележителни небезбедни промени се:
- mod_proxy_balancer ја подобри заштитата од XSS/XSRF напади од доверливи врсници;
- Додадена е поставка SessionExpiryUpdateInterval на mod_session за да се одреди интервалот за ажурирање на времето на истекување на сесијата/колачињата;
- Страниците со грешки беа исчистени, со цел да се елиминира прикажувањето на информации од барањата на овие страници;
- mod_http2 ја зема предвид вредноста на параметарот „LimitRequestFieldSize“, кој претходно важеше само за проверка на полињата за заглавие HTTP/1.1;
- Осигурува дека конфигурацијата mod_proxy_hcheck е креирана кога се користи во BalancerMember;
- Намалена потрошувачка на меморија во mod_dav при користење на командата PROPFIND на голема колекција;
- Во mod_proxy и mod_ssl, проблемите со одредување на поставките за сертификат и SSL во блокот Proxy се решени;
- mod_proxy дозволува поставките SSLProxyCheckPeer* да се применат на сите модули за прокси;
- Способностите на модулите се проширија , Ајде да го шифрираме проектот за автоматизирање на примањето и одржувањето на сертификатите користејќи го протоколот ACME (Автоматска средина за управување со сертификати):
- Додадена е втора верзија на протоколот , што сега е стандардно и празни барања POST наместо GET.
- Додадена е поддршка за верификација врз основа на екстензијата TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), која се користи во HTTP/2.
- Поддршката за методот за верификација „tls-sni-01“ е прекината (поради ).
- Додадени команди за поставување и прекинување на проверката со помош на методот „dns-01“.
- Додадена е поддршка во сертификати кога е овозможена потврда базирана на DNS („dns-01“).
- Имплементиран управувач за „md-status“ и страница за статус на сертификат „https://domain/.httpd/certificate-status“.
- Додадени се директивите „MDCertificateFile“ и „MDCertificateKeyFile“ за конфигурирање на параметрите на доменот преку статични датотеки (без поддршка за автоматско ажурирање).
- Додадена е директива „MDMessageCmd“ за повикување надворешни команди кога се случуваат настани „обновени“, „истекуваат“ или „грешни“.
- Додадена е директива „MDWarnWindow“ за конфигурирање на предупредувачка порака за истекување на сертификатот;
Извор: opennet.ru
