Apache HTTP sunucusu 2.4.46'nın sürümü (2.4.44 ve 2.4.45 sürümleri atlandı), bu sürüm ve ortadan kaldırıldı :
- — mod_proxy_uwsgi modülünde, özel hazırlanmış bir istek gönderilirken bilgi sızıntısına veya sunucuda kod yürütülmesine neden olabilecek bir arabellek taşması. Bu güvenlik açığından çok uzun bir HTTP başlığı gönderilerek yararlanılıyor. Koruma amacıyla, 16K'dan uzun başlıkların engellenmesi eklendi (protokol spesifikasyonunda tanımlanan bir sınır).
- — mod_http2 modülünde, özel olarak tasarlanmış bir HTTP/2 başlığıyla bir istek gönderilirken sürecin çökmesine izin veren bir güvenlik açığı. Sorun, mod_http2 modülünde hata ayıklama veya izleme etkinleştirildiğinde kendini gösterir ve günlüğe bilgi kaydedilirken yarış durumu nedeniyle bellek içeriği bozulmasına yansır. LogLevel “info” olarak ayarlandığında sorun görünmüyor.
- — mod_http2 modülünde, özel olarak tasarlanmış 'Cache-Digest' başlık değeriyle HTTP/2 aracılığıyla bir istek gönderilirken bir işlemin çökmesine izin veren bir güvenlik açığı (çökme, bir kaynak üzerinde HTTP/2 PUSH işlemi gerçekleştirilmeye çalışıldığında meydana gelir) . Güvenlik açığını engellemek için “H2Push off” ayarını kullanabilirsiniz.
- — mod_remoteip ve mod_rewrite kullanarak proxy oluşturma sırasında IP adreslerini taklit etmenize olanak tanıyan mod_remoteip güvenlik açığı. Sorun yalnızca 2.4.1 ila 2.4.23 arasındaki sürümlerde ortaya çıkıyor.
Güvenlikle ilgili olmayan en dikkate değer değişiklikler şunlardır:
- Taslak spesifikasyon desteği mod_http2'den kaldırıldı promosyonu durdurulan kişi.
- Mod_http2'deki "LimitRequestFields" yönergesinin davranışı değiştirildi; 0 değerinin belirtilmesi artık sınırı devre dışı bırakıyor.
- mod_http2, birincil ve ikincil (ana/ikincil) bağlantıların işlenmesini ve kullanıma bağlı olarak yöntemlerin işaretlenmesini sağlar.
- Bir FCGI/CGI betiğinden yanlış Son Değiştirilen başlık içeriği alınırsa, bu başlık artık Unix çağ zamanında değiştirilmek yerine kaldırılır.
- İçerik boyutunu kesin olarak ayrıştırmak için koda ap_parse_strict_length() işlevi eklendi.
- Mod_proxy_fcgi'nin ProxyFCGISetEnvIf özelliği, verilen ifadenin False değerini döndürmesi durumunda ortam değişkenlerinin kaldırılmasını sağlar.
- SSLProxyMachineCertificateFile ayarı aracılığıyla belirtilen bir istemci sertifikasını kullanırken oluşan yarış durumu ve olası mod_ssl çökmesi düzeltildi.
- mod_ssl'deki bellek sızıntısı düzeltildi.
- mod_proxy_http2 proxy parametresinin kullanımını sağlar "» Arka uçla yeni veya yeniden kullanılan bir bağlantının işlevselliğini kontrol ederken.
- Mod_systemd etkinleştirildiğinde httpd'nin "-lsystemd" seçeneğiyle bağlanması durduruldu.
- mod_proxy_http2, arka uç bağlantıları yoluyla gelen verileri beklerken ProxyTimeout ayarının dikkate alınmasını sağlar.
Kaynak: opennet.ru