lëshimi i serverit Apache HTTP 2.4.46 (lëshimet 2.4.44 dhe 2.4.45 u anashkaluan), i cili prezantoi dhe eliminohen :
- — një tejmbushje buferi në modulin mod_proxy_uwsgi, i cili mund të çojë në rrjedhje informacioni ose ekzekutim të kodit në server kur dërgoni një kërkesë të krijuar posaçërisht. Dobësia shfrytëzohet duke dërguar një kokë shumë të gjatë HTTP. Për mbrojtje, është shtuar bllokimi i titujve më të gjatë se 16K (një limit i përcaktuar në specifikimin e protokollit).
- — një dobësi në modulin mod_http2 që lejon që procesi të rrëzohet kur dërgon një kërkesë me një titull HTTP/2 të krijuar posaçërisht. Problemi shfaqet kur korrigjimi ose gjurmimi aktivizohet në modulin mod_http2 dhe reflektohet në dëmtimin e përmbajtjes së kujtesës për shkak të një gjendje gare kur ruani informacionin në regjistër. Problemi nuk shfaqet kur LogLevel është vendosur në "info".
- — një cenueshmëri në modulin mod_http2 që lejon një proces të rrëzohet kur dërgon një kërkesë nëpërmjet HTTP/2 me një vlerë të titullit të projektuar posaçërisht "Cache-Digest" (dëmtimi ndodh kur përpiqeni të kryeni një operacion HTTP/2 PUSH në një burim) . Për të bllokuar cenueshmërinë, mund të përdorni cilësimin "H2Push off".
- — Dobësia mod_remoteip, e cila ju lejon të mashtroni adresat IP gjatë proxying duke përdorur mod_remoteip dhe mod_rewrite. Problemi shfaqet vetëm për versionet 2.4.1 deri në 2.4.23.
Ndryshimet më të dukshme jo të sigurisë janë:
- Mbështetja për specifikimet e draftit është hequr nga mod_http2 , promovimi i të cilit është ndërprerë.
- Ndryshoi sjelljen e direktivës "LimitRequestFields" në mod_http2; specifikimi i një vlere prej 0 tani çaktivizon kufirin.
- mod_http2 ofron përpunimin e lidhjeve parësore dhe dytësore (master/sekondare) dhe shënimin e metodave në varësi të përdorimit.
- Nëse nga një skript FCGI/CGI merret përmbajtje e pasaktë e kokës së modifikuar së fundi, ky titull hiqet tani në vend që të zëvendësohet në kohën e epokës së Unix.
- Funksioni ap_parse_strict_length() është shtuar në kod për të analizuar rreptësisht madhësinë e përmbajtjes.
- ProxyFCGISetEnvIf i Mod_proxy_fcgi siguron që variablat e mjedisit të hiqen nëse shprehja e dhënë kthen False.
- Rregulloi një gjendje gare dhe përplasje të mundshme mod_ssl kur përdorni një certifikatë klienti të specifikuar përmes cilësimit SSLProxyMachineCertificateFile.
- Rregulloi rrjedhjen e kujtesës në mod_ssl.
- mod_proxy_http2 ofron përdorimin e parametrit proxy "» kur kontrolloni funksionalitetin e një lidhjeje të re ose të ripërdorur në backend.
- Ndaloi lidhjen e httpd me opsionin "-lsystemd" kur mod_systemd është i aktivizuar.
- mod_proxy_http2 siguron që cilësimi ProxyTimeout të merret parasysh kur priten të dhënat hyrëse përmes lidhjeve me pjesën e pasme.
Burimi: opennet.ru