bản phát hành Apache HTTP Server 2.4.41 (bản phát hành 2.4.40 đã bị bỏ qua), giới thiệu và loại bỏ :
- là một sự cố trong mod_http2 có thể dẫn đến hỏng bộ nhớ khi gửi yêu cầu đẩy ở giai đoạn đầu. Khi sử dụng cài đặt "H2PushResource", có thể ghi đè bộ nhớ trong nhóm xử lý yêu cầu, nhưng sự cố chỉ giới hạn ở sự cố do dữ liệu được ghi không dựa trên thông tin nhận được từ máy khách;
- - tiếp xúc gần đây Lỗ hổng DoS trong triển khai HTTP/2.
Kẻ tấn công có thể làm cạn kiệt bộ nhớ khả dụng cho một quy trình và tạo tải CPU nặng bằng cách mở cửa sổ HTTP/2 trượt để máy chủ gửi dữ liệu mà không bị hạn chế, nhưng vẫn đóng cửa sổ TCP, ngăn không cho dữ liệu thực sự được ghi vào ổ cắm; - - sự cố trong mod_rewrite, cho phép bạn sử dụng máy chủ để chuyển tiếp yêu cầu đến các tài nguyên khác (chuyển hướng mở). Một số cài đặt mod_rewrite có thể dẫn đến việc người dùng được chuyển tiếp đến một liên kết khác, được mã hóa bằng ký tự dòng mới trong tham số được sử dụng trong chuyển hướng hiện có. Để chặn sự cố trong RegexDefaultOptions, bạn có thể sử dụng cờ PCRE_DOTALL, hiện được đặt theo mặc định;
- - khả năng thực hiện tập lệnh chéo trang trên các trang lỗi được hiển thị bởi mod_proxy. Trên các trang này, liên kết chứa URL thu được từ yêu cầu, trong đó kẻ tấn công có thể chèn mã HTML tùy ý thông qua việc thoát ký tự;
- — tràn ngăn xếp và vô hiệu hóa con trỏ NULL trong mod_remoteip, bị khai thác thông qua thao tác với tiêu đề giao thức PROXY. Cuộc tấn công chỉ có thể được thực hiện từ phía máy chủ proxy được sử dụng trong cài đặt chứ không phải thông qua yêu cầu của khách hàng;
- - một lỗ hổng trong mod_http2 cho phép, tại thời điểm chấm dứt kết nối, bắt đầu đọc nội dung từ vùng bộ nhớ đã được giải phóng (đọc sau khi rảnh).
Những thay đổi không liên quan đến bảo mật đáng chú ý nhất là:
- mod_proxy_balancer đã cải thiện khả năng bảo vệ chống lại các cuộc tấn công XSS/XSRF từ các đồng nghiệp đáng tin cậy;
- Cài đặt SessionExpiryUpdateInterval đã được thêm vào mod_session để xác định khoảng thời gian cập nhật thời gian hết hạn phiên/cookie;
- Các trang có lỗi đã được làm sạch nhằm mục đích loại bỏ việc hiển thị thông tin khỏi các yêu cầu trên các trang này;
- mod_http2 tính đến giá trị của tham số “LimitRequestFieldSize”, trước đây chỉ hợp lệ để kiểm tra các trường tiêu đề HTTP/1.1;
- Đảm bảo rằng cấu hình mod_proxy_hcheck được tạo khi sử dụng trong BalancerMember;
- Giảm mức tiêu thụ bộ nhớ trong mod_dav khi sử dụng lệnh PROPFIND trên bộ sưu tập lớn;
- Trong mod_proxy và mod_ssl, các vấn đề về chỉ định cài đặt chứng chỉ và SSL bên trong khối Proxy đã được giải quyết;
- mod_proxy cho phép áp dụng cài đặt SSLProxyCheckPeer* cho tất cả các mô-đun proxy;
- Khả năng mô-đun được mở rộng , Dự án Let's Encrypt tự động hóa việc nhận và bảo trì chứng chỉ bằng giao thức ACME (Automatic Certification Management Environment):
- Đã thêm phiên bản thứ hai của giao thức , hiện là mặc định và yêu cầu POST trống thay vì GET.
- Đã thêm hỗ trợ xác minh dựa trên tiện ích mở rộng TLS-ALPN-01 (RFC 7301, Đàm phán giao thức lớp ứng dụng), được sử dụng trong HTTP/2.
- Hỗ trợ cho phương pháp xác minh 'tls-sni-01' đã bị ngừng (do ).
- Đã thêm các lệnh để thiết lập và hủy kiểm tra bằng phương pháp 'dns-01'.
- Đã thêm hỗ trợ trong chứng chỉ khi xác minh dựa trên DNS được bật ('dns-01').
- Đã triển khai trang trạng thái chứng chỉ và trình xử lý 'md-status' 'https://domain/.httpd/certificate-status'.
- Đã thêm chỉ thị "MDCertificateFile" và "MDCertificateKeyFile" để định cấu hình các tham số miền thông qua các tệp tĩnh (không hỗ trợ cập nhật tự động).
- Đã thêm lệnh "MDMessageCmd" để gọi các lệnh bên ngoài khi xảy ra các sự kiện 'được gia hạn', 'hết hạn' hoặc 'bị lỗi'.
- Đã thêm lệnh "MDWarnWindow" để định cấu hình thông báo cảnh báo về việc hết hạn chứng chỉ;
Nguồn: opennet.ru
