Apache HTTP sunucusu 2.4.58'in sürümü yayınlandı; bu sürüm, 33 değişiklik getiriyor ve üç güvenlik açığını ortadan kaldırıyor; bunlardan ikisi, HTTP/2 protokolünü kullanan sistemlere DoS saldırısı gerçekleştirme olasılığıyla ilgili.
- CVE-2023-45802 Bir HTTP/2 akışı, RST bayrağına sahip bir paket tarafından sıfırlandıktan sonra, gecikmeli bellek tahsisinin kaldırılması nedeniyle bir bellek tükenmesi durumu yaratılıyor. Bellek, RST bayrağı işlendikten hemen sonra değil, yalnızca bağlantı kapatıldıktan sonra serbest bırakıldığından, bir saldırgan, yeni istekler göndererek ve bunları bir RST paketiyle temizleyerek, ancak bağlantıyı kapatmadan bellek tüketimini önemli ölçüde artırabilir.
- CVE-2023-43622 – Başlangıçtaki kayan pencere boyutu 2 olarak ayarlanmış şekilde açılmışsa HTTP/0 bağlantısı işleme süresiz olarak engelleniyor. Güvenlik açığı, izin verilen maksimum açık bağlantı sayısı sınırını aşarak hizmet reddine neden olmak için kullanılabilir.
- CVE-2023-31122, mod_macro'da, verilerin tahsis edilen arabellek dışındaki bir alandan okunmasına izin veren bir güvenlik açığıdır.
Güvenlikle ilgili olmayan değişiklikler şunları içerir:
- mod_http2, bir HTTP/2 bağlantısındaki (RFC 8441) bir akış üzerinden WebSocket protokolünün kullanılmasına yönelik destek ekler. WebSocket'i HTTP/2 üzerinden etkinleştirmek için 'H2WebSockets on|off' yönergesi önerildi.
- "2 Erken İpuçları" yanıtına başlık eklemek için mod_http2'ye 'H103EarlyHint ad değeri' yönergesi eklendi.
- Proxy yapılandırmasında HTTP/2 istek işlemenin etkin olup olmadığını kontrol etmek için mod_http2'ye 'H2ProxyRequests on|off' yönergesi eklendi.
- HTTP/2'de bir DATA çerçevesinde iletilen bayt cinsinden yanıt gövdesinin maksimum boyutunu sınırlamak için mod_http2'ye 'H2MaxDataFrameLen n' yönergesi eklendi. Varsayılan sınır 16 KB'tır.
- ".js" uzantısını 'application/javascript' yerine 'text/javascript' türüne bağlamak için mime.types dosyası güncellendi ve şu uzantılar eklendi: ".mjs" ('text/javascript' türüyle) ve " .opus" ('ses/ogg'). WebAssembly'da kullanılan MIME türleri ve uzantıları eklendi.
- mod_tls modülü (Rust dilinde mod_ssl'ye bir alternatif), Rustls-ffi 0.9.2+ kitaplığını kullanacak şekilde çevrildi.
- MDomain'lerin VirtualHosts içerikleriyle nasıl eşleştirildiğini kontrol etmek için mod_md modülüne 'MDMatchNames all|servernames' yönergesi eklendi.
- DNS doğrulaması için kullanılan ACME protokol versiyonunun seçilebilmesi için mod_md modülüne 'MDChallengeDns01Version' direktifi eklenmiştir.
- mod_md'de MDChallengeDns01 yönergesinin bireysel olarak kullanılmasına izin verilir. etki alanları.
- WebDav deposunun köküne giden yolu yapılandırmak için mod_dav'a 'DavBasePath' yönergesi eklendi.
- Konum bloğundaki Alias değerinin tam yol olarak kullanılması için mod_alias'a 'AliasPreservePath' yönergesi eklendi.
- Mod_alias'a 'RedirectRelative' yönergesi eklendi ve göreli yollar kullanılarak yeniden yönlendirmeye izin verildi.
- %{z} ve %{strftime-format} biçim belirticileri ErrorLogFormat yönergesine eklendi.
- Sıkıştırma kullanıldığında ETag'ın nasıl değişeceğini kontrol etmek için mod_deflate'e 'DeflateAlterETag' yönergesi eklendi.
- send_brigade_nonblocking() işlevinin performansı optimize edildi.
- Mod_status, "BusyWorkers" ve "IdleWorkers" yinelenen anahtarlarının kaldırılmasını ve yeni bir "GracefulWorkers" sayacının eklenmesini sağlar.
Kaynak: opennet.ru
