ProHoster > Blog > internetne novice > Izdaja http strežnikov Lighttpd 1.4.76 in Apache httpd 2.4.59

Izdaja http strežnikov Lighttpd 1.4.76 in Apache httpd 2.4.59

Objavljena je bila izdaja lahkega http strežnika lighttpd 1.4.76, ki se osredotoča na kombinacijo visoke zmogljivosti, varnosti, skladnosti s standardi in prilagodljivosti konfiguracije. Lighttpd je primeren za uporabo v zelo obremenjenih sistemih in je namenjen nizki porabi pomnilnika in procesorja. Projektna koda je napisana v C in se distribuira pod licenco BSD.

V novi različici:

  • Zagotovljeno je odkrivanje napada »Continuation flood«, ki se izvaja s pošiljanjem neprekinjenega toka okvirjev CONTINUATION na strežnik HTTP/2 brez nastavitve zastavice END_HEADERS. Navedeno je, da ta napad ne povzroči zavrnitve storitve za lighttpd, vendar je kot dodaten ukrep dodan za odkrivanje in pošiljanje odgovora GO_AWAY.
  • Incident z vnosom stranskih vrat v paket xz je bil upoštevan. Ko ustvarjate izdaje za sestavljanje odvisnosti, se koda zdaj pridobi iz Gita z ukazom »git archive« s preverjanjem z uporabo oznak izdaje in brez prenosa že pripravljenih arhivov s kodo.
  • Privzeto je na voljo vgrajena datoteka mimetype.assign.
  • Dodana podpora za razširitev MPTCP (MultiPath TCP), ki privzeto ni omogočena.
  • Izboljšana podpora za platformi GNU/Hurd in NetBSD 10.
  • Število sistemskih klicev pri povezovanju z zaledjem je bilo zmanjšano.
  • V prihodnjih izdajah je načrtovana nastavitev TLSv1.3 kot privzete najmanjše podprte različice protokola TLS (trenutno je parameter MinProtocol nastavljen na TLSv1.2). V prihodnosti bo obravnavalnik server.error-handler-404 omejen samo na obravnavanje napak 404 (trenutno obravnava tako 404 kot 403).

Opazite lahko tudi izdajo strežnika Apache HTTP 2.4.59, ki je uvedel 21 sprememb in odpravil tri ranljivosti:

  • CVE-2024-27316 je ranljivost, ki vodi do izčrpanja prostega pomnilnika med napadom »Continuation flood«.
  • CVE-2024-24795, CVE-2023-38709 - možnost izvajanja napada z delitvijo odziva HTTP na sisteme front-end-back-end, kar omogoča zamenjavo dodatnih glav odgovorov ali delitev odgovorov, da se zagozdi vsebina odgovorov drugim uporabnikom, obdelanih v isti niti med sprednjim in zadnjim delom.
  • Parameter CGIScriptTimeout je bil dodan v modul mod_cgi za nastavitev časovne omejitve izvajanja skripta.
  • mod_xml2enc zagotavlja združljivost z libxml2 2.12.0 in novejšimi izdajami.
  • V mod_ssl se standardne funkcije OpenSSL uporabljajo za sestavljanje seznamov imen overiteljev pri obdelavi direktiv SSLCACertificatePath in SSLCADNRequestPath.
  • mod_xml2enc zagotavlja obdelavo XML za katero koli besedilo/* in XML vrste MIME, da se prepreči poškodba podatkov v formatih Microsoft OOXML.
  • V pripomočku htcacheclean je pri podajanju možnosti -a/-A možno oštevilčiti vse datoteke za vsak podimenik.
  • V mod_ssl direktive SSLProxyMachineCertificateFile/Path omogočajo sklicevanje na datoteke, ki vsebujejo potrdila overitelja potrdil.
  • Dokumentacija za pripomočke htpasswd, htdbm in dbmmanage pojasnjuje, da uporabljajo zgoščevanje in ne šifriranja gesel.
  • htpasswd je dodal podporo za obdelavo zgoščenih vrednosti gesel z uporabo algoritma SHA-2.
  • Mod_env omogoča preglasitev spremenljivk sistemskega okolja.
  • mod_ldap implementira ubežanje HTML v glavi statusa ldap.
  • mod_ssl izboljšuje združljivost z OpenSSL 3 in zagotavlja, da se sproščeni pomnilnik vrne sistemu.
  • mod_proxy omogoča nastavitev TTL za konfiguracijo življenjske dobe vnosa v predpomnilniku odgovorov DNS.
  • V mod_proxy je bila parametru ProxyRemote dodana podpora za tretji argument, prek katerega lahko konfigurirate poverilnice za osnovno preverjanje pristnosti, ki se prenašajo na zunanji proxy.

Vir: opennet.ru

Dodaj komentar