vydanie Apache HTTP servera 2.4.46 (vydania 2.4.44 a 2.4.45 boli preskočené), ktorý zaviedol a eliminovaný :
- — pretečenie vyrovnávacej pamäte v module mod_proxy_uwsgi, ktoré môže viesť k úniku informácií alebo spusteniu kódu na serveri pri odosielaní špeciálne pripravenej požiadavky. Zraniteľnosť je zneužitá odoslaním veľmi dlhej hlavičky HTTP. Pre ochranu bolo pridané blokovanie hlavičiek dlhších ako 16K (limit definovaný v špecifikácii protokolu).
- — zraniteľnosť v module mod_http2, ktorá umožňuje zrútenie procesu pri odosielaní požiadavky so špeciálne navrhnutou hlavičkou HTTP/2. Problém sa prejavuje, keď je v module mod_http2 povolené ladenie alebo sledovanie a prejavuje sa poškodením obsahu pamäte v dôsledku sporu pri ukladaní informácií do protokolu. Problém sa neobjaví, keď je LogLevel nastavená na „info“.
- — zraniteľnosť v module mod_http2, ktorá umožňuje zrútenie procesu pri odosielaní požiadavky cez HTTP/2 so špeciálne navrhnutou hodnotou hlavičky „Cache-Digest“ (zlyhanie nastane pri pokuse o vykonanie operácie HTTP/2 PUSH na zdroji) . Na zablokovanie zraniteľnosti môžete použiť nastavenie „H2Push off“.
- — Zraniteľnosť mod_remoteip, ktorá vám umožňuje sfalšovať IP adresy počas proxy servera pomocou mod_remoteip a mod_rewrite. Problém sa vyskytuje iba pri vydaniach 2.4.1 až 2.4.23.
Najvýznamnejšie zmeny nesúvisiace so zabezpečením:
- Podpora pre návrh špecifikácie bola odstránená z mod_http2 , ktorej propagácia bola zastavená.
- Zmenené správanie direktívy "LimitRequestFields" v mod_http2, zadanie hodnoty 0 teraz zakáže limit.
- mod_http2 zabezpečuje spracovanie primárnych a sekundárnych (master/sekundárnych) spojení a označovanie metód v závislosti od použitia.
- Ak zo skriptu FCGI/CGI prijme nesprávny obsah hlavičky Last-Modified, táto hlavička sa teraz v epoche Unix namiesto nahradenia odstráni.
- Do kódu bola pridaná funkcia ap_parse_strict_length() na striktnú analýzu veľkosti obsahu.
- ProxyFCGISetEnvIf Mod_proxy_fcgi zabezpečuje, že premenné prostredia budú odstránené, ak daný výraz vráti hodnotu False.
- Opravený race condition a možný pád mod_ssl pri použití klientskeho certifikátu špecifikovaného cez nastavenie SSLProxyMachineCertificateFile.
- Opravený únik pamäte v mod_ssl.
- mod_proxy_http2 poskytuje použitie parametra proxy "» pri kontrole funkčnosti nového alebo opätovne použitého pripojenia k backendu.
- Zastavilo sa viazanie httpd s voľbou "-lsystemd", keď je povolený mod_systemd.
- mod_proxy_http2 zaisťuje, že nastavenie ProxyTimeout sa berie do úvahy pri čakaní na prichádzajúce dáta cez pripojenia k backendu.
Zdroj: opennet.ru