keluaran pelayan HTTP Apache 2.4.46 (keluaran 2.4.44 dan 2.4.45 telah dilangkau), yang diperkenalkan dan dihapuskan :
- β limpahan penimbal dalam modul mod_proxy_uwsgi, yang boleh membawa kepada kebocoran maklumat atau pelaksanaan kod pada pelayan apabila menghantar permintaan yang dibuat khas. Kerentanan itu dieksploitasi dengan menghantar pengepala HTTP yang sangat panjang. Untuk perlindungan, penyekatan pengepala lebih panjang daripada 16K telah ditambahkan (had yang ditentukan dalam spesifikasi protokol).
- β kelemahan dalam modul mod_http2 yang membenarkan proses ranap apabila menghantar permintaan dengan pengepala HTTP/2 yang direka khas. Masalah muncul dengan sendirinya apabila penyahpepijatan atau pengesanan didayakan dalam modul mod_http2 dan dicerminkan dalam kerosakan kandungan memori akibat keadaan perlumbaan semasa menyimpan maklumat ke log. Masalah tidak muncul apabila LogLevel ditetapkan kepada "maklumat".
- β kerentanan dalam modul mod_http2 yang membenarkan proses ranap apabila menghantar permintaan melalui HTTP/2 dengan nilai pengepala 'Cache-Digest' yang direka khas (ranap sistem berlaku apabila cuba melakukan operasi PUSH HTTP/2 pada sumber) . Untuk menyekat kelemahan, anda boleh menggunakan tetapan "H2Push off".
- β kerentanan mod_remoteip, yang membolehkan anda memalsukan alamat IP semasa proksi menggunakan mod_remoteip dan mod_rewrite. Masalahnya hanya muncul untuk keluaran 2.4.1 hingga 2.4.23.
Perubahan bukan keselamatan yang paling ketara ialah:
- Sokongan untuk spesifikasi draf telah dialih keluar daripada mod_http2 , yang promosinya telah dihentikan.
- Mengubah tingkah laku arahan "LimitRequestFields" dalam mod_http2 dengan menyatakan nilai 0 kini melumpuhkan had.
- mod_http2 menyediakan pemprosesan sambungan primer dan sekunder (induk/menengah) dan penandaan kaedah bergantung pada penggunaan.
- Jika kandungan pengepala Ubahsuai Terakhir yang salah diterima daripada skrip FCGI/CGI, pengepala ini kini dialih keluar dan bukannya diganti dalam masa zaman Unix.
- Fungsi ap_parse_strict_length() telah ditambahkan pada kod untuk menghuraikan saiz kandungan dengan ketat.
- Mod_proxy_fcgi's ProxyFCGISetEnvIf memastikan pembolehubah persekitaran dialih keluar jika ungkapan yang diberikan mengembalikan Palsu.
- Memperbaiki keadaan perlumbaan dan kemungkinan ranap mod_ssl apabila menggunakan sijil pelanggan yang ditentukan melalui tetapan SSLProxyMachineCertificateFile.
- Membetulkan kebocoran memori dalam mod_ssl.
- mod_proxy_http2 menyediakan penggunaan parameter proksi "Β» apabila menyemak kefungsian sambungan baharu atau yang digunakan semula ke bahagian belakang.
- Berhenti mengikat httpd dengan pilihan "-lsystemd" apabila mod_systemd didayakan.
- mod_proxy_http2 memastikan tetapan ProxyTimeout diambil kira semasa menunggu data masuk melalui sambungan ke bahagian belakang.
Sumber: opennet.ru