lançamento do servidor Apache HTTP 2.4.46 (as versões 2.4.44 e 2.4.45 foram ignoradas), que introduziu e eliminado :
- — um buffer overflow no módulo mod_proxy_uwsgi, que pode levar ao vazamento de informações ou execução de código no servidor ao enviar uma solicitação especialmente criada. A vulnerabilidade é explorada enviando um cabeçalho HTTP muito longo. Para proteção, foi adicionado bloqueio de cabeçalhos maiores que 16K (limite definido na especificação do protocolo).
- — uma vulnerabilidade no módulo mod_http2 que permite que o processo trave ao enviar uma solicitação com um cabeçalho HTTP/2 especialmente projetado. O problema se manifesta quando a depuração ou rastreamento está habilitado no módulo mod_http2 e resulta em corrupção de memória devido a uma condição de corrida ao salvar informações no log. O problema não aparece quando LogLevel está definido como “info”.
- — uma vulnerabilidade no módulo mod_http2 que permite que um processo trave ao enviar uma solicitação via HTTP/2 com um valor de cabeçalho 'Cache-Digest' especialmente projetado (o travamento ocorre ao tentar executar uma operação HTTP/2 PUSH em um recurso) . Para bloquear a vulnerabilidade, você pode usar a configuração “H2Push off”.
- — vulnerabilidade mod_remoteip, que permite falsificar endereços IP durante proxy usando mod_remoteip e mod_rewrite. O problema aparece apenas nas versões 2.4.1 a 2.4.23.
As alterações não relacionadas à segurança mais notáveis são:
- O suporte para especificações de rascunho foi removido do mod_http2 , cuja promoção foi interrompida.
- Alterado o comportamento da diretiva "LimitRequestFields" no mod_http2; especificar um valor 0 agora desativa o limite.
- mod_http2 fornece processamento de conexões primárias e secundárias (mestre/secundária) e marcação de métodos dependendo do uso.
- Se o conteúdo incorreto do cabeçalho Last-Modified for recebido de um script FCGI/CGI, esse cabeçalho agora será removido em vez de substituído na época do Unix.
- A função ap_parse_strict_length() foi adicionada ao código para analisar estritamente o tamanho do conteúdo.
- O ProxyFCGISetEnvIf do Mod_proxy_fcgi garante que as variáveis de ambiente sejam removidas se a expressão fornecida retornar False.
- Corrigida uma condição de corrida e possível falha do mod_ssl ao usar um certificado de cliente especificado por meio da configuração SSLProxyMachineCertificateFile.
- Corrigido vazamento de memória em mod_ssl.
- mod_proxy_http2 fornece o uso do parâmetro proxy "» ao verificar a funcionalidade de uma conexão nova ou reutilizada com o backend.
- Parou de vincular httpd com a opção "-lsystemd" quando mod_systemd está habilitado.
- mod_proxy_http2 garante que a configuração ProxyTimeout seja levada em consideração ao aguardar a entrada de dados por meio de conexões com o back-end.
Fonte: opennet.ru