wydanie serwera Apache HTTP 2.4.46 (pominięto wydania 2.4.44 i 2.4.45), które wprowadziło i wyeliminowane :
- — przepełnienie bufora w module mod_proxy_uwsgi, co może skutkować wyciekiem informacji lub wykonaniem kodu na serwerze podczas wysyłania specjalnie spreparowanego żądania. Luka jest wykorzystywana poprzez wysyłanie bardzo długiego nagłówka HTTP. Dla ochrony dodano blokowanie nagłówków dłuższych niż 16K (limit określony w specyfikacji protokołu).
- — luka w module mod_http2, która pozwala na zawieszenie procesu podczas wysyłania żądania ze specjalnie zaprojektowanym nagłówkiem HTTP/2. Problem objawia się po włączeniu debugowania lub śledzenia w module mod_http2 i powoduje uszkodzenie pamięci z powodu wyścigu podczas zapisywania informacji w dzienniku. Problem nie pojawia się, gdy LogLevel jest ustawiony na „info”.
- — luka w module mod_http2 pozwalająca na awarię procesu podczas wysyłania żądania poprzez HTTP/2 ze specjalnie zaprojektowaną wartością nagłówka „Cache-Digest” (awaria następuje przy próbie wykonania operacji PUSH HTTP/2 na zasobie) . Aby zablokować podatność, możesz skorzystać z ustawienia „H2Push off”.
- — luka w zabezpieczeniach mod_remoteip, która umożliwia fałszowanie adresów IP podczas proxy przy użyciu mod_remoteip i mod_rewrite. Problem pojawia się tylko w wersjach od 2.4.1 do 2.4.23.
Najbardziej zauważalne zmiany niezwiązane z bezpieczeństwem:
- Obsługa wersji roboczej specyfikacji została usunięta z mod_http2 , którego promocja została wstrzymana.
- Zmieniono zachowanie dyrektywy „LimitRequestFields” w mod_http2; określenie wartości 0 powoduje teraz wyłączenie limitu.
- mod_http2 umożliwia przetwarzanie połączeń pierwotnych i wtórnych (master/wtórny) oraz oznaczanie metod w zależności od zastosowania.
- Jeśli ze skryptu FCGI/CGI otrzymana zostanie niepoprawna treść nagłówka Last-Modified, nagłówek ten zostanie teraz usunięty, a nie zastąpiony w czasie epoki Uniksa.
- Do kodu dodano funkcję ap_parse_strict_length() w celu dokładnego przeanalizowania rozmiaru treści.
- ProxyFCGISetEnvIf Mod_proxy_fcgi zapewnia, że zmienne środowiskowe zostaną usunięte, jeśli dane wyrażenie zwróci False.
- Naprawiono sytuację wyścigu i możliwą awarię mod_ssl podczas korzystania z certyfikatu klienta określonego za pomocą ustawienia SSLProxyMachineCertificateFile.
- Naprawiono wyciek pamięci w mod_ssl.
- mod_proxy_http2 zapewnia użycie parametru proxy „» podczas sprawdzania funkcjonalności nowego lub ponownie wykorzystywanego połączenia z backendem.
- Zatrzymano wiązanie httpd z opcją „-lsystemd”, gdy włączony jest mod_systemd.
- mod_proxy_http2 zapewnia, że ustawienie ProxyTimeout jest brane pod uwagę podczas oczekiwania na dane przychodzące poprzez połączenia z backendem.
Źródło: opennet.ru