Објављено је издање Апацхе ХТТП сервера 2.4.58 које уводи 33 измене и елиминише три рањивости, од којих се две односе на могућност извођења ДоС напада на системе користећи ХТТП/2 протокол.
- ЦВЕ-2023-45802 Стање исцрпљености меморије је створено због одложене расподеле меморије након што је ХТТП/2 ток ресетован пакетом са ознаком РСТ. Пошто се меморија не ослобађа одмах након обраде РСТ заставице, већ тек након затварања везе, нападач може значајно повећати потрошњу меморије слањем нових захтева и испирањем са РСТ пакетом, али без затварања везе.
- ЦВЕ-2023-43622 – Обрада ХТТП/2 везе блокира на неодређено време ако је отворена са почетном величином клизног прозора постављеном на 0. Рањивост се може користити да изазове ускраћивање услуге прекорачењем ограничења максималног дозвољеног броја отворених веза.
- ЦВЕ-2023-31122 је рањивост у мод_мацро која омогућава читање података из области изван додељеног бафера.
Несигурносне промене укључују:
- мод_хттп2 додаје подршку за коришћење ВебСоцкет протокола преко тока у ХТТП/2 вези (РФЦ 8441). Да бисте омогућили ВебСоцкет преко ХТТП/2, предложена је директива 'Х2ВебСоцкетс он|офф'.
- Додата је директива 'Х2ЕарлиХинт наме валуе' у мод_хттп2 да би се додала заглавља у одговор "103 Еарли Хинтс".
- Додата директива „Х2ПрокиРекуестс он|офф“ у мод_хттп2 да контролише да ли је обрада ХТТП/2 захтева омогућена у прокси конфигурацији.
- Директива 'Х2МакДатаФрамеЛен н' је додата мод_хттп2 да би се ограничила максимална величина тела одговора у бајтовима који се преносе у једном оквиру ДАТА у ХТТП/2. Подразумевано ограничење је 16 КБ.
- Ажурирана је датотека миме.типес, у којој је екстензија „.јс“ везана за тип „тект/јавасцрипт“ уместо „апплицатион/јавасцрипт“ и додата екстензије: „.мјс“ (са типом „тект/јавасцрипт“ ) и „.опус“ („аудио/огг“). Додати МИМЕ типови и екстензије које се користе у ВебАссембли-у.
- Мод_тлс модул (алтернатива мод_ссл у Руст језику) је преведен да користи рустлс-ффи 0.9.2+ библиотеку.
- Додата је директива 'МДМатцхНамес алл|сервернамес' у мод_мд модул да контролише како се МДомаинс подудара са садржајем ВиртуалХостс-а.
- Директива 'МДЦхалленгеДнс01Версион' је додата у мод_мд модул да би се изабрала верзија АЦМЕ протокола која се користи за верификацију ДНС-а.
- У mod_md је дозвољена употреба директиве MDChallengeDns01 за појединачне доменов.
- Додата 'ДавБасеПатх' директива мод_даву да се конфигурише путања до корена ВебДав спремишта.
- Додата је 'АлиасПресервеПатх' директива мод_алиас да би се користила вредност Алиас у блоку Локација као пуна путања.
- Додата директива 'РедирецтРелативе' у мод_алиас, омогућавајући преусмеравање користећи релативне путање.
- Спецификатори формата %{з} и %{стрфтиме-формат} су додати директиви ЕррорЛогФормат.
- Додата 'ДефлатеАлтерЕТаг' директива мод_дефлате да контролише како се ЕТаг мења када се користи компресија.
- Перформансе функције сенд_бригаде_нонблоцкинг() су оптимизоване.
- Мод_статус обезбеђује да се дуплирани кључеви „БусиВоркерс“ и „ИдлеВоркерс“ уклоне и да се додаје нови бројач „ГрацефулВоркерс“.
Извор: опеннет.ру
