release av Apache HTTP-server 2.4.41 (version 2.4.40 hoppades över), som introducerade och elimineras :
- - Ett problem i mod_http2 som kan orsaka minneskorruption när push-förfrågningar skickas i ett mycket tidigt skede. När inställningen "H2PushResource" används är det möjligt att skriva över ett minnesområde i poolen för förfrågningsbehandling, men problemet är begränsat till en krasch, eftersom data som skrivs inte baseras på information som tas emot från klienten;
- - exponering nyligen DoS-sårbarheter i HTTP/2-implementationer.
En angripare kan tömma det tillgängliga minnet i en process och skapa en stor belastning på CPU:n genom att öppna HTTP/2-skjutfönstret för servern att skicka data utan begränsningar, men hålla TCP-fönstret stängt, vilket förhindrar att data faktiskt skrivs till sockeln; - — ett problem i mod_rewrite som tillåter servern att användas för att vidarebefordra förfrågningar till andra resurser (öppen omdirigering). Vissa mod_rewrite-inställningar kan leda till att användaren vidarebefordras till en annan länk kodad med radmatningstecknet inuti parametern som används i den befintliga omdirigeringen. För att blockera problemet kan PCRE_DOTALL-flaggan användas i RegexDefaultOptions, som nu är inställd som standard;
- — förmågan att utföra cross-site scripting på felsidor som matas ut av mod_proxy. På dessa sidor ersätts den URL som erhålls från begäran i länken, där en angripare kan ersätta godtycklig HTML-kod genom att escape-tecken;
- — stack overflow och NULL-pekardereferens i mod_remoteip, utnyttjas genom manipulation av PROXY-protokollets header. Attacken kan endast utföras från proxyservern som används i inställningarna, och inte via en klientförfrågan;
- — en sårbarhet i mod_http2 som tillåter, vid anslutningsavbrott, att initiera läsning av innehåll från ett redan frigjort minnesområde (läs-efter-frigöring).
De mest anmärkningsvärda icke-säkerhetsändringarna är:
- mod_proxy_balancer har stärkts för att ge skydd mot XSS/XSRF-attacker från betrodda noder;
- Lade till SessionExpiryUpdateInterval-inställningen till mod_session för att definiera intervallet för uppdatering av sessionen/cookiens utgångstid;
- En sanering av felsidor genomfördes i syfte att eliminera utmatningen av information från frågor på dessa sidor;
- mod_http2 tar nu hänsyn till värdet på parametern "LimitRequestFieldSize", som tidigare bara fungerade för att kontrollera HTTP/1.1-huvudfält;
- Säkerställde skapande av mod_proxy_hcheck-konfigurationen vid användning i BalancerMember;
- Minskad minnesförbrukning i mod_dav vid användning av PROPFIND på en stor samling;
- I mod_proxy och mod_ssl har problem med att ange certifikat- och SSL-inställningar inuti proxyblocket lösts;
- mod_proxy tillåter att SSLProxyCheckPeer*-inställningarna tillämpas på alla proxymoduler;
- Modulkapaciteten utökades , Let's Encrypt-projekt för att automatisera anskaffning och underhåll av certifikat med hjälp av ACME-protokollet (Automatic Certificate Management Environment):
- Den andra versionen av protokollet har lagts till , som nu tillämpas som standard och tomma POST-förfrågningar istället för GET.
- Lade till stöd för verifiering baserat på tillägget TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), som används i HTTP/2.
- Verifieringsmetoden 'tls-sni-01' har avbrutits (på grund av ).
- Lade till kommandon för att konfigurera och bryta metodkontrollen 'dns-01'.
- Lagt till stöd i certifikat när DNS-baserad verifiering är aktiverad ('dns-01').
- Implementerad hanterare 'md-status' och sida med certifikatstatus "https://domain/.httpd/certificate-status".
- Lade till direktiven "MDCertificateFile" och "MDCertificateKeyFile" för att konfigurera domänparametrar via statiska filer (utan stöd för automatisk uppdatering).
- Lade till direktivet "MDMessageCmd" för att anropa externa kommandon när "förnyade", "förfaller" eller "fel" händelser inträffar.
- Lade till direktivet "MDWarnWindow" för att konfigurera varningsmeddelandet om certifikatets utgång;
Källa: opennet.ru
