lançamento do servidor Apache HTTP 2.4.41 (a versão 2.4.40 foi ignorada), que introduziu e eliminado :
- é um problema no mod_http2 que pode causar corrupção de memória ao enviar solicitações push em um estágio muito inicial. Ao utilizar a configuração "H2PushResource", é possível sobrescrever a memória no pool de processamento de solicitações, mas o problema se limita a um travamento porque os dados que estão sendo gravados não são baseados nas informações recebidas do cliente;
- - exposição recente Vulnerabilidades DoS em implementações HTTP/2.
Um invasor pode esgotar a memória disponível para um processo e criar uma carga pesada de CPU abrindo uma janela HTTP/2 deslizante para o servidor enviar dados sem restrições, mas mantendo a janela TCP fechada, evitando que os dados sejam realmente gravados no soquete; - - um problema no mod_rewrite, que permite usar o servidor para encaminhar solicitações para outros recursos (redirecionamento aberto). Algumas configurações do mod_rewrite podem fazer com que o usuário seja encaminhado para outro link, codificado usando um caractere de nova linha dentro de um parâmetro usado em um redirecionamento existente. Para bloquear o problema em RegexDefaultOptions, você pode usar o sinalizador PCRE_DOTALL, que agora está definido por padrão;
- - a capacidade de executar scripts entre sites em páginas de erro exibidas pelo mod_proxy. Nessas páginas, o link contém a URL obtida na solicitação, na qual um invasor pode inserir código HTML arbitrário por meio de escape de caracteres;
- - estouro de pilha e desreferência de ponteiro NULL em mod_remoteip, explorado através da manipulação do cabeçalho do protocolo PROXY. O ataque só pode ser realizado pelo lado do servidor proxy utilizado nas configurações, e não por meio de uma solicitação do cliente;
- - uma vulnerabilidade no mod_http2 que permite, no momento do término da conexão, iniciar a leitura de conteúdos de uma área de memória já liberada (read-after-free).
As alterações não relacionadas à segurança mais notáveis são:
- mod_proxy_balancer melhorou a proteção contra ataques XSS/XSRF de pares confiáveis;
- Uma configuração SessionExpiryUpdateInterval foi adicionada a mod_session para determinar o intervalo para atualização do tempo de expiração da sessão/cookie;
- Foram limpas páginas com erros, visando eliminar a exibição de informações de solicitações nessas páginas;
- mod_http2 leva em consideração o valor do parâmetro “LimitRequestFieldSize”, que anteriormente só era válido para verificação de campos de cabeçalho HTTP/1.1;
- Garante que a configuração mod_proxy_hcheck seja criada quando usada em BalancerMember;
- Consumo de memória reduzido em mod_dav ao usar o comando PROPFIND em uma coleção grande;
- Em mod_proxy e mod_ssl, problemas com a especificação de configurações de certificado e SSL dentro do bloco Proxy foram resolvidos;
- mod_proxy permite que as configurações SSLProxyCheckPeer* sejam aplicadas a todos os módulos proxy;
- Capacidades do módulo expandidas , Projeto Let's Encrypt para automatizar o recebimento e manutenção de certificados utilizando o protocolo ACME (Automatic Certificate Management Environment):
- Adicionada segunda versão do protocolo , que agora é o padrão e solicitações POST vazias em vez de GET.
- Adicionado suporte para verificação com base na extensão TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), que é usada em HTTP/2.
- O suporte para o método de verificação 'tls-sni-01' foi descontinuado (devido a ).
- Adicionados comandos para configurar e interromper a verificação usando o método 'dns-01'.
- Suporte adicionado em certificados quando a verificação baseada em DNS está habilitada ('dns-01').
- Implementado o manipulador 'md-status' e a página de status do certificado 'https://domain/.httpd/certificate-status'.
- Adicionadas diretivas "MDCertificateFile" e "MDCertificateKeyFile" para configuração de parâmetros de domínio por meio de arquivos estáticos (sem suporte de atualização automática).
- Adicionada a diretiva "MDMessageCmd" para chamar comandos externos quando ocorrem eventos de 'renovação', 'expiração' ou 'erro'.
- Adicionada diretiva "MDWarnWindow" para configurar mensagem de aviso sobre expiração de certificado;
Fonte: opennet.ru