Apache HTTP 服务器 2.4.41 版本(跳过了 2.4.40 版本),其中引入了 并消除了 :
- 是 mod_http2 中的一个问题,在很早的阶段发送推送请求时可能会导致内存损坏。 当使用“H2PushResource”设置时,可以覆盖请求处理池中的内存,但问题仅限于崩溃,因为写入的数据不是基于从客户端接收到的信息;
- - 最近曝光 HTTP/2 实现中的 DoS 漏洞。
攻击者可以通过打开一个滑动的 HTTP/2 窗口让服务器不受限制地发送数据,但保持 TCP 窗口关闭,从而阻止数据实际写入套接字,从而耗尽进程可用的内存并造成沉重的 CPU 负载; - - mod_rewrite 中的一个问题,它允许您使用服务器将请求转发到其他资源(开放重定向)。 某些 mod_rewrite 设置可能会导致用户被转发到另一个链接,并使用现有重定向中使用的参数内的换行符进行编码。 要阻止 RegexDefaultOptions 中的问题,您可以使用 PCRE_DOTALL 标志,该标志现在是默认设置的;
- - 在 mod_proxy 显示的错误页面上执行跨站点脚本的能力。 在这些页面上,链接中包含从请求中获取的URL,攻击者可以通过字符转义在其中插入任意HTML代码;
- — mod_remoteip 中的堆栈溢出和 NULL 指针取消引用,通过操纵 PROXY 协议头来利用。 攻击只能从设置中使用的代理服务器一侧进行,而不能通过客户端请求;
- - mod_http2 中的一个漏洞,允许在连接终止时启动从已释放的内存区域读取内容(释放后读取)。
最显着的非安全变化是:
- mod_proxy_balancer 改进了针对来自可信对等方的 XSS/XSRF 攻击的保护;
- mod_session 添加了 SessionExpiryUpdateInterval 设置,用于确定更新 session/cookie 过期时间的间隔;
- 清理有错误的页面,旨在消除这些页面上请求的信息显示;
- mod_http2 考虑了“LimitRequestFieldSize”参数的值,该参数以前仅对检查 HTTP/1.1 标头字段有效;
- 确保在 BalancerMember 中使用时创建 mod_proxy_hcheck 配置;
- 在大型集合上使用 PROPFIND 命令时,减少了 mod_dav 中的内存消耗;
- 在 mod_proxy 和 mod_ssl 中,解决了在 Proxy 块内指定证书和 SSL 设置的问题;
- mod_proxy 允许将 SSLProxyCheckPeer* 设置应用于所有代理模块;
- 模块功能扩展 , Let's Encrypt 项目使用 ACME(自动证书管理环境)协议自动接收和维护证书:
- 添加了协议的第二版本 ,现在是默认值并且 空 POST 请求而不是 GET。
- 添加了对基于 TLS-ALPN-01 扩展(RFC 7301,应用层协议协商)的验证的支持,该扩展在 HTTP/2 中使用。
- 对“tls-sni-01”验证方法的支持已停止(由于 ).
- 添加了使用“dns-01”方法设置和中断检查的命令。
- 添加了支持 当启用基于 DNS 的验证时(“dns-01”),在证书中。
- 实现了“md-status”处理程序和证书状态页面“https://domain/.httpd/certificate-status”。
- 添加了“MDCertificateFile”和“MDCertificateKeyFile”指令,用于通过静态文件配置域参数(不支持自动更新)。
- 添加了“MDMessageCmd”指令,用于在发生“续订”、“过期”或“错误”事件时调用外部命令。
- 添加“MDWarnWindow”指令来配置有关证书过期的警告消息;
来源: opennet.ru