vydanie Apache HTTP servera 2.4.41 (vydanie 2.4.40 bolo preskočené), ktoré zaviedlo a eliminovaný :
- je problém v mod_http2, ktorý môže viesť k poškodeniu pamäte pri odosielaní požiadaviek push vo veľmi skorom štádiu. Pri použití nastavenia "H2PushResource" je možné prepísať pamäť v oblasti spracovania požiadaviek, ale problém je obmedzený na zlyhanie, pretože zapisované údaje nie sú založené na informáciách prijatých od klienta;
- - nedávna expozícia Zraniteľnosť DoS v implementáciách HTTP/2.
Útočník môže vyčerpať pamäť dostupnú pre proces a spôsobiť veľké zaťaženie procesora otvorením posuvného okna HTTP/2 pre server, aby mohol odosielať dáta bez obmedzení, ale ponechaním okna TCP zatvorené, čím zabráni tomu, aby sa dáta skutočne zapisovali do soketu; - - problém v mod_rewrite, ktorý vám umožňuje použiť server na preposielanie požiadaviek iným zdrojom (otvorené presmerovanie). Niektoré nastavenia mod_rewrite môžu viesť k tomu, že používateľ bude presmerovaný na iný odkaz, zakódovaný pomocou znaku nového riadku v rámci parametra použitého v existujúcom presmerovaní. Na zablokovanie problému v RegexDefaultOptions môžete použiť príznak PCRE_DOTALL, ktorý je teraz štandardne nastavený;
- - schopnosť vykonávať cross-site skriptovanie na chybových stránkach zobrazených mod_proxy. Na týchto stránkach obsahuje odkaz URL adresu získanú z požiadavky, do ktorej môže útočník vložiť ľubovoľný HTML kód pomocou escapovania znakov;
- — pretečenie zásobníka a dereferencia ukazovateľa NULL v mod_remoteip, využívaná manipuláciou s hlavičkou protokolu PROXY. Útok je možné vykonať iba zo strany proxy servera použitého v nastaveniach a nie prostredníctvom požiadavky klienta;
- - zraniteľnosť v mod_http2, ktorá umožňuje v momente ukončenia spojenia spustiť čítanie obsahu z už uvoľnenej oblasti pamäte (read-after-free).
Najvýznamnejšie zmeny nesúvisiace so zabezpečením:
- mod_proxy_balancer zlepšil ochranu pred útokmi XSS/XSRF od dôveryhodných kolegov;
- Do mod_session bolo pridané nastavenie SessionExpiryUpdateInterval na určenie intervalu aktualizácie času uplynutia platnosti relácie/cookie;
- Stránky s chybami boli vyčistené s cieľom eliminovať zobrazovanie informácií z požiadaviek na týchto stránkach;
- mod_http2 berie do úvahy hodnotu parametra „LimitRequestFieldSize“, ktorý bol predtým platný len na kontrolu polí hlavičky HTTP/1.1;
- Zabezpečuje, že pri použití v BalancerMember sa vytvorí konfigurácia mod_proxy_hcheck;
- Znížená spotreba pamäte v mod_dav pri použití príkazu PROPFIND na veľkej kolekcii;
- V mod_proxy a mod_ssl boli vyriešené problémy so špecifikovaním nastavení certifikátu a SSL v bloku Proxy;
- mod_proxy umožňuje použiť nastavenia SSLProxyCheckPeer* na všetky moduly proxy;
- Rozšírené možnosti modulu , Projekt Let's Encrypt na automatizáciu prijímania a údržby certifikátov pomocou protokolu ACME (Automatic Certificate Management Environment):
- Pridaná druhá verzia protokolu , ktorá je teraz predvolená a prázdne požiadavky POST namiesto GET.
- Pridaná podpora overovania na základe rozšírenia TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), ktoré sa používa v HTTP/2.
- Podpora overovacej metódy „tls-sni-01“ bola ukončená (z dôvodu ).
- Pridané príkazy na nastavenie a prerušenie kontroly pomocou metódy 'dns-01'.
- Pridaná podpora v certifikátoch, keď je povolené overovanie založené na DNS ('dns-01').
- Implementovaný obslužný program „md-status“ a stránka stavu certifikátu „https://domain/.httpd/certificate-status“.
- Pridané smernice "MDCertificateFile" a "MDCertificateKeyFile" na konfiguráciu parametrov domény prostredníctvom statických súborov (bez podpory automatických aktualizácií).
- Pridaná direktíva „MDMessageCmd“ na volanie externých príkazov, keď nastanú udalosti „obnovenia“, „vypršania platnosti“ alebo „chyby“.
- Pridaná direktíva "MDWarnWindow" na konfiguráciu varovnej správy o vypršaní platnosti certifikátu;
Zdroj: opennet.ru