lansarea serverului Apache HTTP 2.4.41 (versiunea 2.4.40 a fost omisă), care a introdus si eliminate :
- este o problemă în mod_http2 care poate duce la coruperea memoriei atunci când trimiteți cereri push într-un stadiu foarte incipient. Când utilizați setarea „H2PushResource”, este posibil să suprascrieți memoria în pool-ul de procesare a cererilor, dar problema se limitează la o blocare deoarece datele care sunt scrise nu se bazează pe informațiile primite de la client;
- - expunere recentă Vulnerabilități DoS în implementările HTTP/2.
Un atacator poate epuiza memoria disponibilă pentru un proces și poate crea o încărcare mare a procesorului prin deschiderea unei ferestre glisante HTTP/2 pentru ca serverul să trimită date fără restricții, dar păstrând fereastra TCP închisă, împiedicând scrierea efectivă a datelor în socket; - - o problemă în mod_rewrite, care vă permite să utilizați serverul pentru a trimite cereri către alte resurse (redirecționare deschisă). Unele setări mod_rewrite pot duce la redirecționarea utilizatorului către un alt link, codificat folosind un caracter newline într-un parametru utilizat într-o redirecționare existentă. Pentru a bloca problema în RegexDefaultOptions, puteți utiliza indicatorul PCRE_DOTALL, care este acum setat implicit;
- - capacitatea de a efectua scripturi între site-uri pe paginile de eroare afișate de mod_proxy. Pe aceste pagini, linkul conține URL-ul obținut din cerere, în care un atacator poate introduce cod HTML arbitrar prin evadarea caracterelor;
- — depășirea stivei și dereferința pointerului NULL în mod_remoteip, exploatate prin manipularea antetului protocolului PROXY. Atacul poate fi efectuat doar din partea serverului proxy utilizat în setări, și nu printr-o solicitare a clientului;
- - o vulnerabilitate în mod_http2 care permite, în momentul încetării conexiunii, inițierea citirii conținutului dintr-o zonă de memorie deja eliberată (read-after-free).
Cele mai notabile modificări non-securitate sunt:
- mod_proxy_balancer are protecție îmbunătățită împotriva atacurilor XSS/XSRF de la colegii de încredere;
- O setare SessionExpiryUpdateInterval a fost adăugată la mod_session pentru a determina intervalul de actualizare a timpului de expirare a sesiunii/cookie-ului;
- Au fost curățate paginile cu erori, având ca scop eliminarea afișării informațiilor din solicitările de pe aceste pagini;
- mod_http2 ia în considerare valoarea parametrului „LimitRequestFieldSize”, care anterior era valabil doar pentru verificarea câmpurilor de antet HTTP/1.1;
- Se asigură că configurația mod_proxy_hcheck este creată atunci când este utilizată în BalancerMember;
- Consum redus de memorie în mod_dav la utilizarea comenzii PROPFIND pe o colecție mare;
- În mod_proxy și mod_ssl, problemele cu specificarea setărilor certificatului și SSL în blocul Proxy au fost rezolvate;
- mod_proxy permite ca setările SSLProxyCheckPeer* să fie aplicate tuturor modulelor proxy;
- Capacitățile modulului au fost extinse , Proiect Let's Encrypt pentru a automatiza primirea și întreținerea certificatelor folosind protocolul ACME (Automatic Certificate Management Environment):
- A fost adăugată a doua versiune a protocolului , care este acum implicit și solicitări POST goale în loc de GET.
- S-a adăugat suport pentru verificare bazat pe extensia TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), care este utilizat în HTTP/2.
- Suportul pentru metoda de verificare „tls-sni-01” a fost întrerupt (din cauza ).
- S-au adăugat comenzi pentru configurarea și ruperea verificării folosind metoda „dns-01”.
- Sprijin adăugat în certificate când este activată verificarea bazată pe DNS („dns-01”).
- S-au implementat handlerul „md-status” și pagina de stare a certificatului „https://domain/.httpd/certificate-status”.
- S-au adăugat directivele „MDCertificateFile” și „MDCertificateKeyFile” pentru configurarea parametrilor de domeniu prin fișiere statice (fără suport pentru actualizarea automată).
- S-a adăugat directiva „MDMessageCmd” pentru a apela comenzi externe atunci când apar evenimente „reînnoite”, „expiră” sau „eroare”.
- S-a adăugat directiva „MDWarnWindow” pentru a configura un mesaj de avertizare despre expirarea certificatului;
Sursa: opennet.ru
