ProHoster > Blog > warta internét > Pelepasan server http Lighttpd 1.4.76 sareng Apache httpd 2.4.59

Pelepasan server http Lighttpd 1.4.76 sareng Apache httpd 2.4.59

Sékrési lightweight http server lighttpd 1.4.76 geus diterbitkeun, fokus kana kombinasi kinerja tinggi, kaamanan, minuhan standar sarta kalenturan konfigurasi. Lighttpd cocog pikeun dianggo dina sistem anu sarat pisan sareng ditujukeun pikeun mémori anu lemah sareng konsumsi CPU. Kodeu proyék ditulis dina C sareng disebarkeun dina lisénsi BSD.

Dina versi anyar:

  • Deteksi serangan "Continuation caah" dilaksanakeun ku ngirimkeun aliran kontinyu pigura CONTINUATION ka server HTTP/2 tanpa netepkeun bendera END_HEADERS disadiakeun. Hal ieu nyatakeun yén serangan ieu teu hasil dina panolakan tina jasa pikeun lighttpd, tapi salaku ukuran tambahan ditambahkeun pikeun ngadeteksi eta sarta ngirim respon GO_AWAY.
  • Kajadian ngalibetkeun bubuka backdoor kana pakét xz geus dicokot kana rekening. Nalika nyieun sékrési pikeun assembling dependensi, kode ayeuna dicandak ti Git nganggo paréntah "git archive" kalayan verifikasi nganggo tag pelepasan sareng tanpa ngaunduh arsip anu siap nganggo kode.
  • Sacara standar, file mimetype.assign diwangun-di disadiakeun.
  • Ditambahkeun dukungan pikeun ekstensi MPTCP (MultiPath TCP), anu henteu diaktipkeun sacara standar.
  • Ningkatkeun dukungan pikeun platform GNU/Hurd sareng NetBSD 10.
  • Jumlah telepon sistem dilakukeun nalika nyambungkeun ka backend geus ngurangan.
  • Dina sékrési hareup, éta rencanana pikeun nyetél TLSv1.3 salaku standar dirojong versi minimum tina protokol TLS (ayeuna MinProtocol parameter disetel ka TLSv1.2). Dina mangsa nu bakal datang, pawang server.error-handler-404 bakal dugi ka ngan nanganan 404 kasalahan (ayeuna éta nanganan duanana 404 sareng 403).

Anjeun ogé tiasa nyatet sékrési server Apache HTTP 2.4.59, anu ngenalkeun 21 parobahan sareng ngalereskeun tilu kerentanan:

  • CVE-2024-27316 mangrupakeun kerentanan anu ngabalukarkeun kacapean memori bébas salila serangan "Tujuan caah".
  • CVE-2024-24795, CVE-2023-38709 - kamungkinan ngalaksanakeun serangan pamisah réspon HTTP dina sistem hareup-tungtung-tukang, ngamungkinkeun substitusi header réspon tambahan atanapi pamisah réspon pikeun ngaganjel eusi réspon ka pamaké séjén diolah dina thread sarua antara frontend na backend.
  • Parameter CGIScriptTimeout geus ditambahkeun kana modul mod_cgi pikeun nyetel waktu palaksanaan naskah.
  • mod_xml2enc nyadiakeun kasaluyuan jeung libxml2 2.12.0 jeung release engké.
  • Dina mod_ssl, fungsi OpenSSL baku dipaké pikeun ngumpul daptar ngaran otoritas sertifikasi nalika ngolah diréktif SSLCACertificatePath na SSLCADNRequestPath.
  • mod_xml2enc nyadiakeun ngolah XML pikeun téks/* jeung XML tipe MIME pikeun nyegah korupsi data dina format Microsoft OOXML.
  • Dina utilitas htcacheclean, nalika netepkeun pilihan -a/-A, anjeun tiasa ngitung sadaya file pikeun unggal subdirektori.
  • Dina mod_ssl, SSLProxyMachineCertificateFile/Path directives ngidinan rujukan ka file nu ngandung sertipikat otoritas sertifikasi.
  • Dokuméntasi pikeun utilitas htpasswd, htdbm sareng dbmmanage netelakeun yén aranjeunna nganggo hashing, sanés énkripsi sandi.
  • htpasswd parantos nambihan dukungan pikeun ngolah hash sandi nganggo algoritma SHA-2.
  • Mod_env ngamungkinkeun overriding variabel lingkungan sistem.
  • mod_ldap implements HTML escaping dina lulugu ldap-status.
  • mod_ssl ningkatkeun kasaluyuan sareng OpenSSL 3 sareng mastikeun yén mémori anu dibébaskeun dipulangkeun ka sistem.
  • mod_proxy ngamungkinkeun netepkeun TTL pikeun ngonpigurasikeun umur entri dina cache respon DNS.
  • Dina mod_proxy, rojongan pikeun argumen katilu geus ditambahkeun kana parameter ProxyRemote, ngaliwatan nu bisa ngonpigurasikeun Kapercayaan pikeun auténtikasi Dasar dikirimkeun ka proxy éksternal.

sumber: opennet.ru

Tambahkeun komentar