utgivelse av Apache HTTP-serveren 2.4.41 (versjon 2.4.40 ble hoppet over), som introduserte og eliminert :
- – Et problem i mod_http2 som kan forårsake minnekorrupsjon når push-forespørsler sendes på et veldig tidlig stadium. Når innstillingen «H2PushResource» brukes, er det mulig å overskrive et minneområde i forespørselsbehandlingsbassenget, men problemet er begrenset til et krasj, siden dataene som skrives ikke er basert på informasjon mottatt fra klienten;
- - eksponering nylig DoS-sårbarheter i HTTP/2-implementeringer.
En angriper kan bruke opp det tilgjengelige minnet til en prosess og skape en stor belastning på CPU-en ved å åpne HTTP/2-skyvevinduet for at serveren skal kunne sende data uten begrensninger, men holde TCP-vinduet lukket, slik at data faktisk ikke skrives til sokkelen; - — et problem i mod_rewrite som tillater at serveren brukes til å videresende forespørsler til andre ressurser (åpen omdirigering). Enkelte mod_rewrite-innstillinger kan føre til at brukeren videresendes til en annen lenke som er kodet med linjeskifttegnet i parameteren som brukes i den eksisterende omdirigeringen. For å blokkere problemet kan PCRE_DOTALL-flagget brukes i RegexDefaultOptions, som nå er satt som standard;
- — muligheten til å utføre cross-site scripting på feilsider som sendes ut av mod_proxy. På disse sidene settes URL-en som er hentet fra forespørselen inn i lenken, der angriperen kan erstatte vilkårlig HTML-kode med escape-tegn;
- — stack overflow og NULL-peker-dereferanse i mod_remoteip, utnyttet gjennom manipulering av PROXY-protokollheaderen. Angrepet kan bare utføres fra proxy-serveren som brukes i innstillingene, og ikke gjennom en klientforespørsel;
- — en sårbarhet i mod_http2 som tillater, i det øyeblikket tilkoblingen avsluttes, å starte lesing av innhold fra et allerede frigjort minneområde (read-etter-free).
De mest bemerkelsesverdige ikke-sikkerhetsendringene:
- mod_proxy_balancer har blitt styrket for å gi beskyttelse mot XSS/XSRF-angrep fra klarerte noder;
- La til SessionExpiryUpdateInterval-innstillingen i mod_session for å definere intervallet for oppdatering av utløpstidspunktet for økt/informasjonskapsel;
- Det ble utført en opprydding av feilsider med sikte på å eliminere utdata av informasjon fra spørringer på disse sidene;
- mod_http2 tar nå hensyn til verdien til parameteren «LimitRequestFieldSize», som tidligere bare fungerte for å sjekke HTTP/1.1-headerfelt;
- Sikret opprettelse av mod_proxy_hcheck-konfigurasjon når den brukes i BalancerMember;
- Redusert minneforbruk i mod_dav når PROPFIND brukes på en stor samling;
- I mod_proxy og mod_ssl er problemer med å spesifisere sertifikat- og SSL-innstillinger i proxy-blokken løst;
- mod_proxy tillater at SSLProxyCheckPeer*-innstillingene brukes på alle proxy-moduler;
- Modulfunksjonene utvidet , La oss kryptere prosjektet for å automatisere anskaffelse og vedlikehold av sertifikater ved hjelp av ACME-protokollen (Automatic Certificate Management Environment):
- Den andre versjonen av protokollen er lagt til , som nå brukes som standard og tomme POST-forespørsler i stedet for GET.
- La til støtte for verifisering basert på TLS-ALPN-01-utvidelsen (RFC 7301, Application-Layer Protocol Negotiation), som brukes i HTTP/2.
- Verifiseringsmetoden 'tls-sni-01' er avviklet (på grunn av ).
- La til kommandoer for å konfigurere og bryte metodekontrollen 'dns-01'.
- Lagt til støtte i sertifikater når DNS-basert verifisering er aktivert ('dns-01').
- Implementerte behandleren 'md-status' og side med sertifikatstatusen "https://domain/.httpd/certificate-status".
- La til direktivene «MDCertificateFile» og «MDCertificateKeyFile» for å konfigurere domeneparametere via statiske filer (uten støtte for automatisk oppdatering).
- La til direktivet «MDMessageCmd» for å kalle eksterne kommandoer når hendelser av typen «renewed», «expiring» eller «errored» oppstår.
- La til direktivet «MDWarnWindow» for å tilpasse advarselsmeldingen om sertifikatutløp;
Kilde: opennet.ru
