keluaran Apache HTTP Server 2.4.41 (keluaran 2.4.40 telah dilangkau), yang diperkenalkan dan dihapuskan :
- ialah isu dalam mod_http2 yang boleh membawa kepada kerosakan memori apabila menghantar permintaan push pada peringkat awal. Apabila menggunakan tetapan "H2PushResource", adalah mungkin untuk menulis ganti memori dalam kumpulan pemprosesan permintaan, tetapi masalahnya terhad kepada ranap kerana data yang ditulis tidak berdasarkan maklumat yang diterima daripada klien;
- - pendedahan baru-baru ini Kerentanan DoS dalam pelaksanaan HTTP/2.
Penyerang boleh menghabiskan memori yang tersedia untuk proses dan mencipta beban CPU yang berat dengan membuka tetingkap HTTP/2 gelongsor untuk pelayan menghantar data tanpa sekatan, tetapi memastikan tetingkap TCP ditutup, menghalang data daripada benar-benar ditulis ke soket; - - masalah dalam mod_rewrite, yang membolehkan anda menggunakan pelayan untuk memajukan permintaan kepada sumber lain (lencongan terbuka). Beberapa tetapan mod_rewrite mungkin menyebabkan pengguna dimajukan ke pautan lain, dikodkan menggunakan aksara baris baharu dalam parameter yang digunakan dalam ubah hala sedia ada. Untuk menyekat masalah dalam RegexDefaultOptions, anda boleh menggunakan bendera PCRE_DOTALL, yang kini ditetapkan secara lalai;
- - keupayaan untuk melakukan skrip merentas tapak pada halaman ralat yang dipaparkan oleh mod_proxy. Pada halaman ini, pautan mengandungi URL yang diperoleh daripada permintaan, di mana penyerang boleh memasukkan kod HTML sewenang-wenangnya melalui pelarian aksara;
- β limpahan tindanan dan penyahrujukan penunjuk NULL dalam mod_remoteip, dieksploitasi melalui manipulasi pengepala protokol PROXY. Serangan hanya boleh dilakukan dari sisi pelayan proksi yang digunakan dalam tetapan, dan bukan melalui permintaan pelanggan;
- - kerentanan dalam mod_http2 yang membolehkan, pada saat penamatan sambungan, untuk memulakan pembacaan kandungan dari kawasan memori yang telah dibebaskan (baca selepas bebas).
Perubahan bukan keselamatan yang paling ketara ialah:
- mod_proxy_balancer telah meningkatkan perlindungan terhadap serangan XSS/XSRF daripada rakan sebaya yang dipercayai;
- Tetapan SessionExpiryUpdateInterval telah ditambahkan pada mod_session untuk menentukan selang untuk mengemas kini masa tamat sesi/kuki;
- Halaman dengan ralat telah dibersihkan, bertujuan untuk menghapuskan paparan maklumat daripada permintaan pada halaman ini;
- mod_http2 mengambil kira nilai parameter "LimitRequestFieldSize", yang sebelum ini hanya sah untuk menyemak medan pengepala HTTP/1.1;
- Memastikan konfigurasi mod_proxy_hcheck dibuat apabila digunakan dalam BalancerMember;
- Mengurangkan penggunaan memori dalam mod_dav apabila menggunakan arahan PROPFIND pada koleksi yang besar;
- Dalam mod_proxy dan mod_ssl, masalah dengan menetapkan sijil dan tetapan SSL di dalam blok Proksi telah diselesaikan;
- mod_proxy membenarkan tetapan SSLProxyCheckPeer* digunakan pada semua modul proksi;
- Keupayaan modul diperluaskan , Projek Let's Encrypt untuk mengautomasikan penerimaan dan penyelenggaraan sijil menggunakan protokol ACME (Automatic Certificate Management Environment):
- Menambah versi kedua protokol , yang kini menjadi lalai dan permintaan POST kosong dan bukannya GET.
- Menambahkan sokongan untuk pengesahan berdasarkan sambungan TLS-ALPN-01 (RFC 7301, Rundingan Protokol Lapisan Aplikasi), yang digunakan dalam HTTP/2.
- Sokongan untuk kaedah pengesahan 'tls-sni-01' telah dihentikan (disebabkan oleh ).
- Menambahkan arahan untuk menyediakan dan memecahkan cek menggunakan kaedah 'dns-01'.
- Menambah sokongan dalam sijil apabila pengesahan berasaskan DNS didayakan ('dns-01').
- Pengendali 'md-status' dan halaman status sijil 'https://domain/.httpd/certificate-status'.
- Menambah arahan "MDCertificateFile" dan "MDCertificateKeyFile" untuk mengkonfigurasi parameter domain melalui fail statik (tanpa sokongan kemas kini automatik).
- Menambahkan arahan "MDMessageCmd" untuk memanggil arahan luaran apabila peristiwa 'diperbaharui', 'tamat tempoh' atau 'tersalah' berlaku.
- Menambahkan arahan "MDWarnWindow" untuk mengkonfigurasi mesej amaran tentang tamat tempoh sijil;
Sumber: opennet.ru