издање Апацхе ХТТП сервера 2.4.41 (издање 2.4.40 је прескочено), које је представило и елиминисан :
- је проблем у мод_хттп2 који може довести до оштећења меморије при слању пусх захтева у врло раној фази. Када користите поставку „Х2ПусхРесоурце“, могуће је преписати меморију у спремишту за обраду захтева, али проблем је ограничен на пад јер подаци који се уписују нису засновани на информацијама примљеним од клијента;
- - недавно излагање ДоС рањивости у ХТТП/2 имплементацијама.
Нападач може исцрпити меморију доступну процесу и створити велико оптерећење ЦПУ-а отварањем клизног ХТТП/2 прозора за сервер да шаље податке без ограничења, али држећи ТЦП прозор затвореним, спречавајући да се подаци стварно уписују у сокет; - - проблем у мод_реврите, који вам омогућава да користите сервер за прослеђивање захтева другим ресурсима (отворено преусмеравање). Нека подешавања мод_реврите могу довести до тога да корисник буде прослеђен на другу везу, кодирану помоћу знака новог реда у оквиру параметра који се користи у постојећем преусмеравању. Да бисте блокирали проблем у РегекДефаултОптионс, можете користити ПЦРЕ_ДОТАЛЛ заставицу, која је сада подразумевано подешена;
- - могућност извођења скриптовања на више локација на страницама са грешкама које приказује мод_проки. На овим страницама, линк садржи УРЛ добијен из захтева, у који нападач може да убаци произвољан ХТМЛ код кроз избегавање знакова;
- — преливање стека и дереференцирање НУЛЛ показивача у мод_ремотеип, искоришћено кроз манипулацију заглављем ПРОКСИ протокола. Напад се може извршити само са стране прокси сервера који се користи у подешавањима, а не преко захтева клијента;
- - рањивост у мод_хттп2 која омогућава да се у тренутку прекида везе покрене читање садржаја из већ ослобођене меморијске области (реад-афтер-фрее).
Најзначајније промене које се не односе на безбедност су:
- мод_проки_баланцер је побољшао заштиту од КССС/КССРФ напада од поузданих колега;
- Поставка СессионЕкпириУпдатеИнтервал је додата мод_сессион да би се одредио интервал за ажурирање времена истека сесије/колачића;
- Странице са грешкама су очишћене, са циљем да се елиминише приказ информација са захтева на овим страницама;
- мод_хттп2 узима у обзир вредност параметра „ЛимитРекуестФиелдСизе“, који је раније важио само за проверу ХТТП/1.1 поља заглавља;
- Осигурава да је мод_проки_хцхецк конфигурација креирана када се користи у БаланцерМембер;
- Смањена потрошња меморије у мод_даву када се користи ПРОПФИНД команда на великој колекцији;
- У мод_проки и мод_ссл, проблеми са специфицирањем сертификата и ССЛ подешавања унутар Проки блока су решени;
- мод_проки омогућава примену подешавања ССЛПрокиЦхецкПеер* на све прокси модуле;
- Могућности модула су проширене , Лет'с Енцрипт пројекат за аутоматизацију пријема и одржавања сертификата користећи АЦМЕ (Аутоматиц Цертифицате Манагемент Енвиронмент) протокол:
- Додата друга верзија протокола , што је сада подразумевано и празни ПОСТ захтеви уместо ГЕТ.
- Додата подршка за верификацију засновану на ТЛС-АЛПН-01 екстензији (РФЦ 7301, Апплицатион-Лаиер Протоцол Неготиатион), која се користи у ХТТП/2.
- Подршка за методу верификације 'тлс-сни-01' је укинута (због ).
- Додате команде за подешавање и пробијање провере методом 'днс-01'.
- Додата подршка у сертификатима када је верификација заснована на ДНС-у омогућена ('днс-01').
- Примењени руковалац 'мд-статус' и страница статуса сертификата 'хттпс://домаин/.хттпд/цертифицате-статус'.
- Додате су директиве „МДЦертифицатеФиле“ и „МДЦертифицатеКеиФиле“ за конфигурисање параметара домена путем статичких датотека (без подршке за аутоматско ажурирање).
- Додата директива „МДМессагеЦмд“ за позивање екстерних команди када дође до догађаја „обновљен“, „истиче“ или „погрешио“.
- Додата "МДВарнВиндов" директива за конфигурисање поруке упозорења о истеку сертификата;
Извор: опеннет.ру
