release van de Apache HTTP-server 2.4.46 (releases 2.4.44 en 2.4.45 zijn overgeslagen), die introduceerde en geëlimineerd :
- — een bufferoverflow in de mod_proxy_uwsgi-module, wat kan leiden tot informatielekken of code-uitvoering op de server bij het verzenden van een speciaal vervaardigd verzoek. Er wordt misbruik gemaakt van het beveiligingslek door een zeer lange HTTP-header te verzenden. Ter bescherming is het blokkeren van headers langer dan 16K toegevoegd (een limiet gedefinieerd in de protocolspecificatie).
- — een kwetsbaarheid in de mod_http2-module waardoor het proces kan crashen bij het verzenden van een verzoek met een speciaal ontworpen HTTP/2-header. Het probleem manifesteert zich wanneer debuggen of traceren is ingeschakeld in de mod_http2-module en wordt weerspiegeld in corruptie van de geheugeninhoud als gevolg van een race condition bij het opslaan van informatie in het logbestand. Het probleem treedt niet op als LogLevel is ingesteld op “info”.
- — een kwetsbaarheid in de mod_http2-module waardoor een proces kan crashen bij het verzenden van een verzoek via HTTP/2 met een speciaal ontworpen 'Cache-Digest'-headerwaarde (de crash treedt op wanneer wordt geprobeerd een HTTP/2 PUSH-bewerking uit te voeren op een bron) . Om de kwetsbaarheid te blokkeren, kunt u de instelling “H2Push off” gebruiken.
- — mod_remoteip-kwetsbaarheid, waarmee u IP-adressen kunt vervalsen tijdens proxying met mod_remoteip en mod_rewrite. Het probleem doet zich alleen voor bij releases 2.4.1 tot 2.4.23.
De meest opvallende niet-beveiligingswijzigingen zijn:
- Ondersteuning voor conceptspecificatie is verwijderd uit mod_http2 , wiens promotie is stopgezet.
- Het gedrag van de richtlijn "LimitRequestFields" in mod_http2 gewijzigd; het specificeren van een waarde van 0 schakelt nu de limiet uit.
- mod_http2 biedt verwerking van primaire en secundaire (master/secundaire) verbindingen en markering van methoden afhankelijk van gebruik.
- Als onjuiste Last-Modified header-inhoud wordt ontvangen van een FCGI/CGI-script, wordt deze header nu verwijderd in plaats van vervangen in Unix-epochtijd.
- De functie ap_parse_strict_length() is aan de code toegevoegd om de inhoudsgrootte strikt te analyseren.
- ProxyFCGISetEnvIf van Mod_proxy_fcgi zorgt ervoor dat omgevingsvariabelen worden verwijderd als de gegeven expressie False retourneert.
- Een raceconditie en mogelijke mod_ssl-crash opgelost bij gebruik van een clientcertificaat dat is opgegeven via de SSLProxyMachineCertificateFile-instelling.
- Geheugenlek in mod_ssl opgelost.
- mod_proxy_http2 biedt het gebruik van de proxyparameter "» bij het controleren van de functionaliteit van een nieuwe of hergebruikte verbinding met de backend.
- Gestopt met het binden van httpd met de optie "-lsystemd" wanneer mod_systemd is ingeschakeld.
- mod_proxy_http2 zorgt ervoor dat er rekening wordt gehouden met de ProxyTimeout-instelling bij het wachten op binnenkomende gegevens via verbindingen met de backend.
Bron: opennet.ru