Apache HTTP серверийн 2.4.41 хувилбарыг (2.4.40 хувилбарыг алгассан) танилцуулсан. мөн устгасан :
- Энэ нь mod_http2 дээрх асуудал бөгөөд энэ нь маш эрт үе шатанд түлхэх хүсэлт илгээх үед санах ойн эвдрэлд хүргэж болзошгүй юм. "H2PushResource" тохиргоог ашиглах үед хүсэлтийг боловсруулах сан дахь санах ойг дарж бичих боломжтой боловч бичиж буй өгөгдөл нь үйлчлүүлэгчээс хүлээн авсан мэдээлэлд тулгуурлаагүй тул асуудал нь сүйрлээр хязгаарлагддаг;
- - сүүлийн үеийн өртөлт HTTP/2 хэрэгжүүлэлт дэх DoS-ийн эмзэг байдал.
Халдагчид процесст байгаа санах ойг шавхаж, серверт өгөгдөл дамжуулах HTTP/2 цонхыг нээж, серверт хязгаарлалтгүйгээр өгөгдөл илгээх, харин TCP цонхыг хаалттай байлгаснаар процесст байгаа санах ойг шавхаж, CPU-ийн хүнд ачааллыг үүсгэж болно. - - mod_rewrite дахь асуудал нь серверийг ашиглан хүсэлтийг бусад эх сурвалж руу дамжуулах боломжийг олгодог (нээлттэй дахин чиглүүлэлт). Зарим mod_rewrite тохиргоо нь хэрэглэгчийг одоо байгаа дахин чиглүүлэлтэд ашигласан параметр доторх шинэ мөрийн тэмдэгт ашиглан кодлогдсон өөр холбоос руу шилжүүлэхэд хүргэж болзошгүй. RegexDefaultOptions дээрх асуудлыг хаахын тулд та одоо анхдагчаар тохируулагдсан PCRE_DOTALL тугийг ашиглаж болно;
- - mod_proxy-ээр харуулсан алдааны хуудсан дээр сайт хоорондын скрипт хийх чадвар. Эдгээр хуудсан дээрх холбоос нь хүсэлтээс олж авсан URL-г агуулж байгаа бөгөөд үүнд халдагч тэмдэгтээс зугтах замаар дурын HTML код оруулах боломжтой;
- — mod_remoteip доторх стек халих ба NULL заагч заагчийг PROXY протоколын толгой хэсгийг удирдах замаар ашигласан. Халдлагыг зөвхөн тохиргоонд ашигласан прокси серверийн талаас хийх боломжтой бөгөөд үйлчлүүлэгчийн хүсэлтээр биш;
- - mod_http2-ийн эмзэг байдал нь холболт тасрах үед аль хэдийн суллагдсан санах ойн хэсгээс (үнэгүй дараа унших) агуулгыг уншиж эхлэх боломжийг олгодог.
Аюулгүй байдлын хамгийн чухал бус өөрчлөлтүүд нь:
- mod_proxy_balancer нь итгэмжлэгдсэн хүмүүсийн XSS/XSRF халдлагаас хамгаалах хамгаалалтыг сайжруулсан;
- SessionExpiryUpdateInterval тохиргоог mod_session-д нэмсэн бөгөөд сесс/күүки дуусах хугацааг шинэчлэх интервалыг тодорхойлох;
- Алдаатай хуудсуудыг цэвэрлэж, эдгээр хуудсууд дээрх хүсэлтээс мэдээлэл харуулахыг арилгах зорилготой;
- mod_http2 нь "LimitRequestFieldSize" параметрийн утгыг харгалзан үздэг бөгөөд энэ нь өмнө нь зөвхөн HTTP/1.1 толгойн талбаруудыг шалгахад хүчинтэй байсан;
- BalancerMember-д ашиглах үед mod_proxy_hcheck тохиргоо хийгдсэн эсэхийг баталгаажуулна;
- Том цуглуулга дээр PROPFIND командыг ашиглах үед mod_dav-д санах ойн зарцуулалтыг бууруулсан;
- mod_proxy болон mod_ssl-д Proxy блок доторх сертификат болон SSL тохиргоог зааж өгөхтэй холбоотой асуудлууд шийдэгдсэн;
- mod_proxy нь SSLProxyCheckPeer* тохиргоог бүх прокси модульд ашиглах боломжийг олгодог;
- Модулийн боломжууд өргөжсөн , ACME (Automatic Certificate Management Environment) протоколыг ашиглан гэрчилгээ хүлээн авах, засвар үйлчилгээ хийх ажлыг автоматжуулах төслийг шифрлэцгээе:
- Протоколын хоёр дахь хувилбарыг нэмсэн , энэ нь одоо анхдагч болон GET-ийн оронд хоосон POST хүсэлт.
- HTTP/01-д хэрэглэгддэг TLS-ALPN-7301 өргөтгөл (RFC 2, Хэрэглээний давхаргын протоколын хэлэлцээр) дээр суурилсан баталгаажуулалтын дэмжлэгийг нэмсэн.
- 'tls-sni-01' баталгаажуулалтын аргын дэмжлэг зогссон (улмаас). ).
- 'dns-01' аргыг ашиглан чекийг тохируулах, эвдэх командуудыг нэмсэн.
- Нэмэлт дэмжлэг DNS-д суурилсан баталгаажуулалтыг идэвхжүүлсэн үед гэрчилгээнд ('dns-01').
- 'md-status' зохицуулагч болон гэрчилгээний статусын хуудас 'https://domain/.httpd/certificate-status'-ыг хэрэгжүүлсэн.
- "MDCertificateFile" болон "MDCertificateKeyFile" удирдамжийг статик файлуудаар дамжуулан домэйн параметрүүдийг тохируулах (автоматаар шинэчлэх дэмжлэггүйгээр) нэмсэн.
- "Шинэчлэгдсэн", "хугацаа нь дууссан" эсвэл "алдаатай" үйл явдал тохиолдоход гадаад командуудыг дуудах "MDMessageCmd" удирдамжийг нэмсэн.
- Сертификат дуусах тухай анхааруулах мессежийг тохируулахын тулд "MDWarnWindow" удирдамжийг нэмсэн;
Эх сурвалж: opennet.ru
