wydanie serwera Apache HTTP 2.4.41 (pominięto wydanie 2.4.40), które wprowadziło i wyeliminowane :
- to problem w mod_http2, który może prowadzić do uszkodzenia pamięci podczas wysyłania żądań push na bardzo wczesnym etapie. W przypadku korzystania z ustawienia „H2PushResource” możliwe jest nadpisanie pamięci w puli przetwarzania żądań, ale problem ogranicza się do awarii, ponieważ zapisywane dane nie są oparte na informacjach otrzymanych od klienta;
- - niedawna ekspozycja Luki DoS w implementacjach HTTP/2.
Osoba atakująca może wyczerpać pamięć dostępną dla procesu i spowodować duże obciążenie procesora, otwierając przesuwane okno HTTP/2, w którym serwer może wysyłać dane bez ograniczeń, ale utrzymując okno TCP zamknięte, uniemożliwiając faktyczne zapisanie danych w gnieździe; - - problem w mod_rewrite, który umożliwia wykorzystanie serwera do przekazywania żądań do innych zasobów (otwarte przekierowanie). Niektóre ustawienia mod_rewrite mogą powodować przekierowanie użytkownika do innego linku, zakodowanego przy użyciu znaku nowej linii w parametrze używanym w istniejącym przekierowaniu. Aby zablokować problem w RegexDefaultOptions, możesz użyć flagi PCRE_DOTALL, która jest teraz ustawiona domyślnie;
- - możliwość wykonywania skryptów cross-site na stronach błędów wyświetlanych przez mod_proxy. Na tych stronach link zawiera adres URL uzyskany z żądania, w którym osoba atakująca może wstawić dowolny kod HTML poprzez zmianę znaków;
- — przepełnienie stosu i wyłuskiwanie wskaźnika NULL w mod_remoteip, wykorzystywane poprzez manipulację nagłówkiem protokołu PROXY. Atak może zostać przeprowadzony wyłącznie ze strony serwera proxy użytego w ustawieniach, a nie poprzez żądanie klienta;
- - luka w mod_http2 pozwalająca w momencie zakończenia połączenia zainicjować odczyt zawartości z już zwolnionego obszaru pamięci (read-after-free).
Najbardziej zauważalne zmiany niezwiązane z bezpieczeństwem:
- mod_proxy_balancer poprawił ochronę przed atakami XSS/XSRF ze strony zaufanych peerów;
- Do mod_session dodano ustawienie SessionExpiryUpdateInterval w celu określenia interwału aktualizacji czasu wygaśnięcia sesji/pliku cookie;
- Strony z błędami zostały oczyszczone, mając na celu wyeliminowanie wyświetlania informacji z żądań na tych stronach;
- mod_http2 uwzględnia wartość parametru „LimitRequestFieldSize”, który dotychczas obowiązywał jedynie przy sprawdzaniu pól nagłówka HTTP/1.1;
- Zapewnia utworzenie konfiguracji mod_proxy_hcheck w przypadku użycia w BalancerMember;
- Zmniejszono zużycie pamięci w mod_dav podczas używania polecenia PROPFIND na dużej kolekcji;
- W mod_proxy i mod_ssl rozwiązano problemy z określeniem ustawień certyfikatu i SSL w bloku Proxy;
- mod_proxy umożliwia zastosowanie ustawień SSLProxyCheckPeer* do wszystkich modułów proxy;
- Rozszerzone możliwości modułu , Projekt Let's Encrypt mający na celu automatyzację odbioru i obsługi certyfikatów przy użyciu protokołu ACME (Automatic Certyfikat Management Environment):
- Dodano drugą wersję protokołu , który jest teraz domyślnym i puste żądania POST zamiast GET.
- Dodano obsługę weryfikacji w oparciu o rozszerzenie TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), które jest używane w HTTP/2.
- Zakończono obsługę metody weryfikacji „tls-sni-01” (z powodu ).
- Dodano polecenia umożliwiające ustawienie i przerwanie sprawdzania przy użyciu metody „dns-01”.
- Dodano wsparcie w certyfikatach, gdy włączona jest weryfikacja oparta na DNS („dns-01”).
- Zaimplementowano moduł obsługi „md-status” i stronę statusu certyfikatu „https://domain/.httpd/certificate-status”.
- Dodano dyrektywy „MDCertificateFile” i „MDCertificateKeyFile” do konfigurowania parametrów domeny za pomocą plików statycznych (bez obsługi automatycznej aktualizacji).
- Dodano dyrektywę „MDMessageCmd” umożliwiającą wywoływanie poleceń zewnętrznych w przypadku wystąpienia zdarzeń „odnowionych”, „wygasających” lub „błędnych”.
- Dodano dyrektywę „MDWarnWindow” umożliwiającą skonfigurowanie komunikatu ostrzegawczego o wygaśnięciu certyfikatu;
Źródło: opennet.ru
