sékrési Apache HTTP server 2.4.41 (release 2.4.40 ieu skipped), nu diwanohkeun sarta ngaleungitkeun :
- mangrupa masalah dina mod_http2 nu bisa ngakibatkeun korupsi memori nalika ngirim requests push dina tahap pisan mimiti. Lamun make setelan "H2PushResource", kasebut nyaéta dimungkinkeun pikeun nimpa memori dina kolam renang processing pamundut, tapi masalahna dugi ka kacilakaan a sabab data keur ditulis teu dumasar kana informasi nampi ti klien nu;
- - paparan panganyarna Kerentanan DoS dina palaksanaan HTTP / 2.
Hiji panyerang bisa béak mémori sadia pikeun prosés jeung nyieun beban CPU beurat ku muka hiji ngageser HTTP / 2 jandela pikeun server ngirim data tanpa palarangan, tapi tetep jandela TCP ditutup, nyegah data sabenerna ditulis kana stop kontak nu; - - masalah dina mod_rewrite, nu ngidinan Anjeun pikeun make server ka neraskeun requests ka sumber sejenna (alihan muka). Sababaraha setélan mod_rewrite tiasa nyababkeun pangguna diteruskeun kana tautan anu sanés, disandikeun nganggo karakter baris anyar dina parameter anu dianggo dina alihan anu tos aya. Pikeun meungpeuk masalah dina RegexDefaultOptions, anjeun tiasa nganggo bendera PCRE_DOTALL, anu ayeuna diatur sacara standar;
- - kamampuhan pikeun ngalakukeun skrip cross-situs dina kaca kasalahan dipintonkeun ku mod_proxy. Dina kaca ieu, link ngandung URL diala tina pamundut, nu lawan bisa ngasupkeun kode HTML sawenang ngaliwatan karakter escaping;
- - tumpukan mudal sareng NULL pointer dereference dina mod_remoteip, dieksploitasi ngaliwatan manipulasi header protokol PROXY. Serangan ngan ukur tiasa dilakukeun tina sisi server proxy anu dianggo dina setélan, sareng henteu ngalangkungan pamundut klien;
- - kerentanan dina mod_http2 anu ngamungkinkeun, dina momen terminasi sambungan, pikeun ngamimitian maca eusi ti wewengkon mémori geus dibébaskeun (baca-sanggeus-gratis).
Parobahan non-kaamanan anu paling kasohor nyaéta:
- mod_proxy_balancer geus ningkat panyalindungan ngalawan serangan XSS / XSRF ti peers dipercaya;
- Setelan SessionExpiryUpdateInterval geus ditambahkeun kana mod_session pikeun nangtukeun interval pikeun ngamutahirkeun sési / waktu béakna cookie;
- Kaca-kaca anu aya kasalahan dibersihkeun, ditujukeun pikeun ngaleungitkeun tampilan inpormasi tina pamundut dina halaman ieu;
- mod_http2 nganggap nilai tina parameter "LimitRequestFieldSize", nu saméméhna ngan valid pikeun mariksa HTTP / 1.1 widang lulugu;
- Mastikeun yén konfigurasi mod_proxy_hcheck didamel nalika dianggo dina BalancerMember;
- Ngurangan konsumsi mémori dina mod_dav nalika nganggo paréntah PROPFIND dina koleksi ageung;
- Dina mod_proxy sareng mod_ssl, masalah sareng netepkeun sertipikat sareng setélan SSL di jero blok Proxy parantos direngsekeun;
- mod_proxy ngamungkinkeun setelan SSLProxyCheckPeer* diterapkeun ka sadaya modul proxy;
- Kamampuh modul dimekarkeun , Proyék Hayu Encrypt pikeun ngajadikeun otomatis resi sareng pangropéa sertipikat nganggo protokol ACME (Automatic Certificate Management Environment):
- Ditambahkeun versi kadua protokol , nu ayeuna standar na requests POST kosong tinimbang GET.
- Ditambahkeun rojongan pikeun verifikasi dumasar kana extension TLS-ALPN-01 (RFC 7301, Aplikasi-Lapisan Protocol Negotiation), nu dipaké dina HTTP / 2.
- Rojongan pikeun metode verifikasi 'tls-sni-01' parantos dileungitkeun (sabab ).
- Nambahkeun paréntah pikeun nyetél sareng ngarobih cek nganggo metode 'dns-01'.
- rojongan ditambahkeun dina sertipikat nalika verifikasi basis DNS diaktipkeun ('dns-01').
- Dilaksanakeun 'md-status' Handler jeung kaca status sertipikat 'https://domain/.httpd/sertipikat-status'.
- Ditambahkeun "MDCertificateFile" sareng "MDCertificateKeyFile" arahan pikeun ngonpigurasikeun parameter domain ngalangkungan file statik (tanpa pangrojong update otomatis).
- Ditambahkeun "MDMessageCmd" diréktif pikeun nelepon paréntah éksternal nalika 'diperbarui', 'kadaluwarsa' atawa 'errored' kajadian lumangsung.
- Ditambahkeun "MDWarnWindow" diréktif pikeun ngonpigurasikeun pesen peringatan ngeunaan béakna sertipikat;
sumber: opennet.ru