izdaja strežnika HTTP Apache 2.4.41 (izdaja 2.4.40 je bila preskočena), ki je predstavil in odpravili :
- je težava v mod_http2, ki lahko privede do poškodb pomnilnika pri pošiljanju potisnih zahtev v zelo zgodnji fazi. Pri uporabi nastavitve »H2PushResource« je možno prepisati pomnilnik v področju obdelave zahtev, vendar je težava omejena na zrušitev, ker podatki, ki se zapisujejo, ne temeljijo na informacijah, prejetih od odjemalca;
- - nedavna izpostavljenost DoS ranljivosti v implementacijah HTTP/2.
Napadalec lahko izčrpa pomnilnik, ki je na voljo procesu, in ustvari veliko obremenitev CPE-ja tako, da odpre drsno okno HTTP/2, da strežnik pošlje podatke brez omejitev, vendar pusti okno TCP zaprto, kar prepreči dejansko pisanje podatkov v vtičnico; - - težava v mod_rewrite, ki omogoča uporabo strežnika za posredovanje zahtev drugim virom (odprta preusmeritev). Nekatere nastavitve mod_rewrite lahko povzročijo, da je uporabnik preusmerjen na drugo povezavo, kodirano z uporabo znaka za novo vrstico znotraj parametra, uporabljenega v obstoječi preusmeritvi. Če želite blokirati težavo v RegexDefaultOptions, lahko uporabite zastavico PCRE_DOTALL, ki je zdaj privzeto nastavljena;
- - zmožnost izvajanja skriptiranja med spletnimi mesti na straneh z napakami, ki jih prikaže mod_proxy. Na teh straneh povezava vsebuje URL, pridobljen iz zahteve, v katerega lahko napadalec vstavi poljubno kodo HTML z ubežnimi znaki;
- — prelivanje sklada in dereferenca kazalca NULL v mod_remoteip, izkoriščena z manipulacijo glave protokola PROXY. Napad je mogoče izvesti samo s strani proxy strežnika, ki je uporabljen v nastavitvah, in ne prek zahteve odjemalca;
- - ranljivost v mod_http2, ki omogoča v trenutku prekinitve povezave sprožiti branje vsebine iz že sproščenega pomnilniškega področja (read-after-free).
Najbolj opazne spremembe, ki niso povezane z varnostjo:
- mod_proxy_balancer ima izboljšano zaščito pred napadi XSS/XSRF s strani zaupanja vrednih vrstnikov;
- Nastavitev SessionExpiryUpdateInterval je bila dodana mod_session za določitev intervala za posodobitev časa poteka seje/piškotka;
- Strani z napakami so bile očiščene, da bi odpravili prikaz informacij iz zahtev na teh straneh;
- mod_http2 upošteva vrednost parametra “LimitRequestFieldSize”, ki je prej veljal le za preverjanje polj glave HTTP/1.1;
- Zagotavlja, da je konfiguracija mod_proxy_hcheck ustvarjena pri uporabi v BalancerMember;
- Zmanjšana poraba pomnilnika v mod_dav pri uporabi ukaza PROPFIND v veliki zbirki;
- V mod_proxy in mod_ssl so bile odpravljene težave s podajanjem nastavitev potrdila in SSL znotraj bloka Proxy;
- mod_proxy omogoča uporabo nastavitev SSLProxyCheckPeer* za vse proxy module;
- Razširjene zmogljivosti modula , Projekt Let's Encrypt za avtomatizacijo prejemanja in vzdrževanja potrdil z uporabo protokola ACME (Automatic Certificate Management Environment):
- Dodana druga različica protokola , ki je zdaj privzeta in prazne zahteve POST namesto GET.
- Dodana podpora za preverjanje na podlagi razširitve TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), ki se uporablja v HTTP/2.
- Podpora za metodo preverjanja 'tl-sni-01' je bila ukinjena (zaradi ).
- Dodani ukazi za nastavitev in prekinitev preverjanja z metodo 'dns-01'.
- Dodana podpora v potrdilih, ko je omogočeno preverjanje na podlagi DNS ('dns-01').
- Implementiran 'md-status' handler in stran s statusom potrdila 'https://domain/.httpd/certificate-status'.
- Dodani direktivi "MDCertificateFile" in "MDCertificateKeyFile" za konfiguracijo parametrov domene prek statičnih datotek (brez podpore za samodejno posodabljanje).
- Dodana je direktiva »MDMessageCmd« za klic zunanjih ukazov, ko pride do dogodkov »obnovljeno«, »poteče« ali »z napako«.
- Dodana direktiva "MDWarnWindow" za konfiguracijo opozorilnega sporočila o poteku potrdila;
Vir: opennet.ru