Apache HTTP సర్వర్ 2.4.41 విడుదల (విడుదల 2.4.40 దాటవేయబడింది), ఇది పరిచయం చేయబడింది మరియు తొలగించబడింది :
- అనేది mod_http2లో ఒక సమస్య, ఇది చాలా ప్రారంభ దశలో పుష్ అభ్యర్థనలను పంపేటప్పుడు మెమరీ అవినీతికి దారితీస్తుంది. "H2PushResource" సెట్టింగ్ని ఉపయోగిస్తున్నప్పుడు, అభ్యర్థన ప్రాసెసింగ్ పూల్లో మెమరీని ఓవర్రైట్ చేయడం సాధ్యపడుతుంది, అయితే క్లయింట్ నుండి అందుకున్న సమాచారం ఆధారంగా వ్రాయబడిన డేటా కారణంగా సమస్య క్రాష్కి పరిమితం చేయబడింది;
- - ఇటీవలి బహిర్గతం HTTP/2 అమలులో DoS దుర్బలత్వాలు.
దాడి చేసే వ్యక్తి ప్రాసెస్కు అందుబాటులో ఉన్న మెమరీని కోల్పోవచ్చు మరియు పరిమితులు లేకుండా డేటాను పంపడానికి సర్వర్ కోసం స్లైడింగ్ HTTP/2 విండోను తెరవడం ద్వారా భారీ CPU లోడ్ను సృష్టించవచ్చు, కానీ TCP విండోను మూసి ఉంచి, డేటా నిజానికి సాకెట్కు వ్రాయబడకుండా నిరోధిస్తుంది; - - mod_rewriteలో ఒక సమస్య, ఇది ఇతర వనరులకు అభ్యర్థనలను ఫార్వార్డ్ చేయడానికి సర్వర్ని ఉపయోగించడానికి మిమ్మల్ని అనుమతిస్తుంది (ఓపెన్ రీడైరెక్ట్). కొన్ని mod_rewrite సెట్టింగ్ల వలన వినియోగదారు మరొక లింక్కి ఫార్వార్డ్ చేయబడవచ్చు, ఇప్పటికే ఉన్న దారి మళ్లింపులో ఉపయోగించిన పారామీటర్లోని కొత్త లైన్ అక్షరాన్ని ఉపయోగించి ఎన్కోడ్ చేయబడవచ్చు. RegexDefaultOptionsలో సమస్యను నిరోధించడానికి, మీరు PCRE_DOTALL ఫ్లాగ్ని ఉపయోగించవచ్చు, ఇది ఇప్పుడు డిఫాల్ట్గా సెట్ చేయబడింది;
- - mod_proxy ద్వారా ప్రదర్శించబడే ఎర్రర్ పేజీలలో క్రాస్-సైట్ స్క్రిప్టింగ్ చేసే సామర్థ్యం. ఈ పేజీలలో, లింక్ అభ్యర్థన నుండి పొందిన URLని కలిగి ఉంది, దీనిలో దాడి చేసే వ్యక్తి అక్షరం తప్పించుకోవడం ద్వారా ఏకపక్ష HTML కోడ్ను చొప్పించవచ్చు;
- — mod_remoteipలో స్టాక్ ఓవర్ఫ్లో మరియు NULL పాయింటర్ డెరిఫరెన్స్, PROXY ప్రోటోకాల్ హెడర్ని తారుమారు చేయడం ద్వారా ఉపయోగించబడింది. దాడి సెట్టింగ్లలో ఉపయోగించిన ప్రాక్సీ సర్వర్ వైపు నుండి మాత్రమే నిర్వహించబడుతుంది మరియు క్లయింట్ అభ్యర్థన ద్వారా కాదు;
- - mod_http2లో ఒక దుర్బలత్వం, ఇది కనెక్షన్ రద్దు సమయంలో, ఇప్పటికే ఖాళీ చేయబడిన మెమరీ ప్రాంతం (చదవడానికి-తరువాత-ఉచిత) నుండి కంటెంట్లను చదవడాన్ని ప్రారంభించడానికి అనుమతిస్తుంది.
అత్యంత ముఖ్యమైన నాన్-సెక్యూరిటీ మార్పులు:
- mod_proxy_balancer విశ్వసనీయ సహచరుల నుండి XSS/XSRF దాడుల నుండి మెరుగైన రక్షణను కలిగి ఉంది;
- సెషన్/కుకీ గడువు ముగింపు సమయాన్ని నవీకరించడానికి విరామాన్ని నిర్ణయించడానికి mod_sessionకి SessionExpiryUpdateInterval సెట్టింగ్ జోడించబడింది;
- ఈ పేజీలలోని అభ్యర్థనల నుండి సమాచారం యొక్క ప్రదర్శనను తొలగించే లక్ష్యంతో లోపాలు ఉన్న పేజీలు శుభ్రం చేయబడ్డాయి;
- mod_http2 "LimitRequestFieldSize" పరామితి యొక్క విలువను పరిగణనలోకి తీసుకుంటుంది, ఇది గతంలో HTTP/1.1 హెడర్ ఫీల్డ్లను తనిఖీ చేయడానికి మాత్రమే చెల్లుతుంది;
- BalancerMemberలో ఉపయోగించినప్పుడు mod_proxy_hcheck కాన్ఫిగరేషన్ సృష్టించబడిందని నిర్ధారిస్తుంది;
- పెద్ద సేకరణలో PROPFIND ఆదేశాన్ని ఉపయోగిస్తున్నప్పుడు mod_davలో మెమరీ వినియోగం తగ్గింది;
- mod_proxy మరియు mod_sslలో, ప్రాక్సీ బ్లాక్ లోపల సర్టిఫికేట్ మరియు SSL సెట్టింగ్లను పేర్కొనడంలో సమస్యలు పరిష్కరించబడ్డాయి;
- mod_proxy అన్ని ప్రాక్సీ మాడ్యూల్లకు SSLProxyCheckPeer* సెట్టింగ్లను వర్తింపజేయడానికి అనుమతిస్తుంది;
- మాడ్యూల్ సామర్థ్యాలు విస్తరించబడ్డాయి , ACME (ఆటోమేటిక్ సర్టిఫికేట్ మేనేజ్మెంట్ ఎన్విరాన్మెంట్) ప్రోటోకాల్ని ఉపయోగించి సర్టిఫికేట్ల రసీదు మరియు నిర్వహణను ఆటోమేట్ చేయడానికి ప్రాజెక్ట్ను ఎన్క్రిప్ట్ చేద్దాం:
- ప్రోటోకాల్ యొక్క రెండవ వెర్షన్ జోడించబడింది , ఇది ఇప్పుడు డిఫాల్ట్ మరియు GETకి బదులుగా ఖాళీ POST అభ్యర్థనలు.
- HTTP/01లో ఉపయోగించబడే TLS-ALPN-7301 పొడిగింపు (RFC 2, అప్లికేషన్-లేయర్ ప్రోటోకాల్ నెగోషియేషన్) ఆధారంగా ధృవీకరణకు మద్దతు జోడించబడింది.
- 'tls-sni-01' ధృవీకరణ పద్ధతికి మద్దతు నిలిపివేయబడింది (కారణంగా ).
- 'dns-01' పద్ధతిని ఉపయోగించి చెక్ను సెటప్ చేయడానికి మరియు విచ్ఛిన్నం చేయడానికి ఆదేశాలు జోడించబడ్డాయి.
- మద్దతు జోడించబడింది DNS-ఆధారిత ధృవీకరణ ప్రారంభించబడినప్పుడు ధృవపత్రాలలో ('dns-01').
- 'md-status' హ్యాండ్లర్ మరియు సర్టిఫికేట్ స్టేటస్ పేజీ 'https://domain/.httpd/certificate-status' అమలు చేయబడింది.
- స్టాటిక్ ఫైల్ల ద్వారా డొమైన్ పారామితులను కాన్ఫిగర్ చేయడానికి "MDCertificateFile" మరియు "MDCertificateKeyFile" డైరెక్టివ్లు జోడించబడ్డాయి (స్వీయ-నవీకరణ మద్దతు లేకుండా).
- 'పునరుద్ధరణ', 'గడువు ముగిసిన' లేదా 'ఎర్రర్డ్' ఈవెంట్లు సంభవించినప్పుడు బాహ్య ఆదేశాలకు కాల్ చేయడానికి "MDMessageCmd" ఆదేశం జోడించబడింది.
- సర్టిఫికేట్ గడువు గురించి హెచ్చరిక సందేశాన్ని కాన్ఫిగర్ చేయడానికి "MDWarnWindow" డైరెక్టివ్ జోడించబడింది;
మూలం: opennet.ru