Apache HTTP sunucusu 2.4.41'in sürümü (sürüm 2.4.40 atlandı), bu sürüm ve ortadan kaldırıldı :
- mod_http2'de, çok erken bir aşamada push istekleri gönderilirken hafıza bozulmasına yol açabilen bir sorundur. "H2PushResource" ayarını kullanırken, istek işleme havuzundaki belleğin üzerine yazmak mümkündür, ancak yazılan veriler istemciden alınan bilgilere dayanmadığı için sorun çökmeyle sınırlıdır;
- - son maruz kalma HTTP/2 uygulamalarındaki DoS güvenlik açıkları.
Saldırgan, sunucunun kısıtlama olmaksızın veri göndermesi için kayan bir HTTP/2 penceresi açarak, ancak TCP penceresini kapalı tutarak, verilerin gerçekten sokete yazılmasını engelleyerek, bir işlemin kullanabileceği belleği tüketebilir ve ağır bir CPU yükü oluşturabilir; - - mod_rewrite'da, istekleri diğer kaynaklara iletmek için sunucuyu kullanmanıza izin veren bir sorun (açık yönlendirme). Bazı mod_rewrite ayarları, kullanıcının mevcut bir yönlendirmede kullanılan bir parametre içindeki yeni satır karakteri kullanılarak kodlanmış başka bir bağlantıya yönlendirilmesine neden olabilir. RegexDefaultOptions'ta sorunu engellemek için artık varsayılan olarak ayarlanan PCRE_DOTALL bayrağını kullanabilirsiniz;
- - mod_proxy tarafından görüntülenen hata sayfalarında siteler arası komut dosyası oluşturma yeteneği. Bu sayfalarda bağlantı, bir saldırganın karakter kaçışı yoluyla isteğe bağlı HTML kodu ekleyebileceği istekten elde edilen URL'yi içerir;
- — mod_remoteip'te yığın taşması ve NULL işaretçi referansı, PROXY protokol başlığının manipülasyonu yoluyla istismar edilir. Saldırı, istemci isteği yoluyla değil, yalnızca ayarlarda kullanılan proxy sunucusu tarafından gerçekleştirilebilir;
- - mod_http2'de, bağlantının sonlandırılması anında, önceden serbest bırakılmış bir bellek alanından içeriklerin okunmasının başlatılmasına izin veren bir güvenlik açığı (sonradan okuma).
Güvenlikle ilgili olmayan en dikkate değer değişiklikler şunlardır:
- mod_proxy_balancer, güvenilir eşlerden gelen XSS/XSRF saldırılarına karşı gelişmiş koruma sağlar;
- Oturum/çerez son kullanma süresinin güncellenmesine yönelik aralığı belirlemek için mod_session'a bir SessionExpiryUpdateInterval ayarı eklendi;
- Bu sayfalardaki isteklerden gelen bilgilerin görüntülenmesini ortadan kaldırmak amacıyla hatalı sayfalar temizlendi;
- mod_http2, önceden yalnızca HTTP/1.1 başlık alanlarını kontrol etmek için geçerli olan “LimitRequestFieldSize” parametresinin değerini dikkate alır;
- BalancerMember'da kullanıldığında mod_proxy_hcheck yapılandırmasının oluşturulmasını sağlar;
- Büyük bir koleksiyonda PROPFIND komutunu kullanırken mod_dav'da azaltılmış bellek tüketimi;
- mod_proxy ve mod_ssl'de, Proxy bloğu içinde sertifika ve SSL ayarlarının belirtilmesiyle ilgili sorunlar çözüldü;
- mod_proxy, SSLProxyCheckPeer* ayarlarının tüm proxy modüllerine uygulanmasına izin verir;
- Modül yetenekleri genişletildi , ACME (Otomatik Sertifika Yönetim Ortamı) protokolünü kullanarak sertifikaların alınmasını ve bakımını otomatikleştirmek için Let's Encrypt projesi:
- Protokolün ikinci versiyonu eklendi , bu artık varsayılandır ve GET yerine boş POST istekleri.
- HTTP/01'de kullanılan TLS-ALPN-7301 uzantısına (RFC 2, Uygulama Katmanı Protokol Anlaşması) dayalı doğrulama desteği eklendi.
- 'tls-sni-01' doğrulama yöntemi desteği durduruldu (nedeniyle) ).
- 'Dns-01' yöntemini kullanarak kontrolü ayarlamak ve kırmak için komutlar eklendi.
- Destek eklendi DNS tabanlı doğrulama etkinleştirildiğinde sertifikalarda ('dns-01').
- 'Md-status' işleyicisi ve sertifika durumu sayfası 'https://domain/.httpd/certificate-status' uygulandı.
- Etki alanı parametrelerini statik dosyalar (otomatik güncelleme desteği olmadan) aracılığıyla yapılandırmak için "MDCertificateFile" ve "MDCertificateKeyFile" yönergeleri eklendi.
- 'Yenilendi', 'süresi doluyor' veya 'hatalı' olaylar meydana geldiğinde harici komutları çağırmak için "MDMessageCmd" yönergesi eklendi.
- Sertifika süresinin dolması hakkında bir uyarı mesajı yapılandırmak için "MDWarnWindow" yönergesi eklendi;
Kaynak: opennet.ru