release ng Apache HTTP server 2.4.46 (release 2.4.44 at 2.4.45 ay nilaktawan), na nagpakilala at inalis :
- β isang buffer overflow sa mod_proxy_uwsgi module, na maaaring humantong sa pagtagas ng impormasyon o pagpapatupad ng code sa server kapag nagpapadala ng espesyal na ginawang kahilingan. Ang kahinaan ay pinagsamantalahan sa pamamagitan ng pagpapadala ng napakahabang HTTP header. Para sa proteksyon, ang pagharang ng mga header na mas mahaba sa 16K ay idinagdag (isang limitasyon na tinukoy sa detalye ng protocol).
- β isang kahinaan sa mod_http2 module na nagpapahintulot sa proseso na mag-crash kapag nagpapadala ng kahilingan na may espesyal na idinisenyong HTTP/2 na header. Ang problema ay nagpapakita mismo kapag ang pag-debug o pagsubaybay ay pinagana sa mod_http2 module at makikita sa pagkasira ng nilalaman ng memorya dahil sa isang kundisyon ng lahi kapag nagse-save ng impormasyon sa log. Ang problema ay hindi lilitaw kapag ang LogLevel ay nakatakda sa "impormasyon".
- β isang kahinaan sa mod_http2 module na nagpapahintulot sa isang proseso na mag-crash kapag nagpapadala ng kahilingan sa pamamagitan ng HTTP/2 na may espesyal na idinisenyong 'Cache-Digest' na halaga ng header (ang pag-crash ay nangyayari kapag sinusubukang magsagawa ng HTTP/2 PUSH operation sa isang mapagkukunan) . Upang harangan ang kahinaan, maaari mong gamitin ang setting na "H2Push off".
- β mod_remoteip vulnerability, na nagbibigay-daan sa iyo na manloko ng mga IP address habang nag-proxy gamit ang mod_remoteip at mod_rewrite. Ang problema ay lilitaw lamang para sa mga release 2.4.1 hanggang 2.4.23.
Ang pinaka-kapansin-pansing mga pagbabagong hindi pangseguridad ay:
- Ang suporta para sa draft na detalye ay inalis mula sa mod_http2 , na ang promosyon ay itinigil.
- Binago ang pag-uugali ng "LimitRequestFields" na direktiba sa mod_http2; ang pagtukoy ng halaga ng 0 ay hindi na pinapagana ang limitasyon.
- Ang mod_http2 ay nagbibigay ng pagproseso ng pangunahin at pangalawa (master/pangalawang) koneksyon at pagmamarka ng mga pamamaraan depende sa paggamit.
- Kung ang maling nilalaman ng Huling Binago na header ay natanggap mula sa isang FCGI/CGI script, ang header na ito ay aalisin na ngayon sa halip na papalitan sa Unix epoch time.
- Ang ap_parse_strict_length() function ay idinagdag sa code upang mahigpit na mai-parse ang laki ng nilalaman.
- Tinitiyak ng ProxyFCGISetEnvIf ng Mod_proxy_fcgi na ang mga variable ng kapaligiran ay aalisin kung ang ibinigay na expression ay nagbabalik ng False.
- Nag-ayos ng kundisyon sa karera at posibleng mod_ssl crash kapag gumagamit ng certificate ng kliyente na tinukoy sa pamamagitan ng setting ng SSLProxyMachineCertificateFile.
- Inayos ang memory leak sa mod_ssl.
- Ang mod_proxy_http2 ay nagbibigay ng paggamit ng proxy parameter "Β» kapag sinusuri ang functionality ng isang bago o muling ginamit na koneksyon sa backend.
- Huminto sa pagbubuklod ng httpd gamit ang opsyong "-lsystemd" kapag pinagana ang mod_systemd.
- tinitiyak ng mod_proxy_http2 na ang setting ng ProxyTimeout ay isinasaalang-alang kapag naghihintay ng papasok na data sa pamamagitan ng mga koneksyon sa backend.
Pinagmulan: opennet.ru