release av Apache HTTP-server 2.4.41 (version 2.4.40 hoppades över), som introducerade och elimineras :
- är ett problem i mod_http2 som kan leda till minneskorruption när man skickar push-förfrågningar i ett mycket tidigt skede. När du använder inställningen "H2PushResource" är det möjligt att skriva över minnet i förfrågningsbehandlingspoolen, men problemet är begränsat till en krasch eftersom data som skrivs inte är baserad på information som tas emot från klienten;
- - senaste exponering DoS-sårbarheter i HTTP/2-implementationer.
En angripare kan tömma minnet som är tillgängligt för en process och skapa en tung CPU-belastning genom att öppna ett glidande HTTP/2-fönster för servern att skicka data utan begränsningar, men hålla TCP-fönstret stängt, vilket förhindrar att data faktiskt skrivs till sockeln; - - ett problem i mod_rewrite, vilket gör att du kan använda servern för att vidarebefordra förfrågningar till andra resurser (öppen omdirigering). Vissa mod_rewrite-inställningar kan leda till att användaren vidarebefordras till en annan länk, kodad med ett nyradstecken i en parameter som används i en befintlig omdirigering. För att blockera problemet i RegexDefaultOptions kan du använda flaggan PCRE_DOTALL, som nu är inställd som standard;
- - Möjligheten att utföra cross-site scripting på felsidor som visas av mod_proxy. På dessa sidor innehåller länken URL-adressen som erhålls från begäran, där en angripare kan infoga godtycklig HTML-kod genom teckensläckning;
- — stack overflow och NULL-pekaredereferens i mod_remoteip, utnyttjad genom manipulering av PROXY-protokollets rubrik. Attacken kan endast utföras från sidan av proxyservern som används i inställningarna, och inte genom en klientförfrågan;
- - en sårbarhet i mod_http2 som gör det möjligt att, i ögonblicket för upphörande av anslutningen, initiera läsning av innehåll från ett redan frigjort minnesområde (läs-efter-fritt).
De mest anmärkningsvärda icke-säkerhetsändringarna är:
- mod_proxy_balancer har förbättrat skydd mot XSS/XSRF-attacker från betrodda kamrater;
- En SessionExpiryUpdateInterval-inställning har lagts till mod_session för att bestämma intervallet för uppdatering av sessionens/cookiens utgångstid;
- Sidor med fel rensades, i syfte att eliminera visningen av information från förfrågningar på dessa sidor;
- mod_http2 tar hänsyn till värdet på parametern "LimitRequestFieldSize", som tidigare endast var giltig för att kontrollera HTTP/1.1-huvudfält;
- Säkerställer att mod_proxy_hcheck-konfigurationen skapas när den används i BalancerMember;
- Minskad minnesförbrukning i mod_dav när du använder kommandot PROPFIND på en stor samling;
- I mod_proxy och mod_ssl har problem med att ange certifikat och SSL-inställningar i proxyblocket lösts;
- mod_proxy tillåter SSLProxyCheckPeer*-inställningar att tillämpas på alla proxymoduler;
- Modulkapaciteten utökades , Let's Encrypt-projektet för att automatisera mottagandet och underhållet av certifikat med hjälp av ACME-protokollet (Automatic Certificate Management Environment):
- Lade till andra versionen av protokollet , som nu är standard och tomma POST-förfrågningar istället för GET.
- Lade till stöd för verifiering baserat på tillägget TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), som används i HTTP/2.
- Stöd för verifieringsmetoden 'tls-sni-01' har avbrutits (på grund av ).
- Lade till kommandon för att ställa in och bryta kontrollen med 'dns-01'-metoden.
- Lagt till stöd i certifikat när DNS-baserad verifiering är aktiverad ('dns-01').
- Implementerad 'md-status'-hanterare och certifikatstatussida 'https://domain/.httpd/certificate-status'.
- Lade till direktiven "MDCertificateFile" och "MDCertificateKeyFile" för att konfigurera domänparametrar genom statiska filer (utan stöd för automatisk uppdatering).
- Lade till direktivet "MDMessageCmd" för att anropa externa kommandon när "förnyade", "förfaller" eller "fel" händelser inträffar.
- Lade till direktivet "MDWarnWindow" för att konfigurera ett varningsmeddelande om certifikatets utgång;
Källa: opennet.ru