Apache HTTP 服务器 2.4.46 版本(跳过了 2.4.44 和 2.4.45 版本),其中引入了 并消除了 :
- — mod_proxy_uwsgi 模块中的缓冲区溢出,在发送特制请求时可能导致服务器上的信息泄露或代码执行。 该漏洞是通过发送非常长的 HTTP 标头来利用的。 为了保护,添加了对长度超过 16K 的标头的阻止(协议规范中定义的限制)。
- — mod_http2 模块中的一个漏洞,在发送带有专门设计的 HTTP/2 标头的请求时,该漏洞允许进程崩溃。 当在 mod_http2 模块中启用调试或跟踪时,该问题就会显现出来,并反映在将信息保存到日志时由于竞争条件而导致内存内容损坏。 当LogLevel设置为“info”时,不会出现该问题。
- — mod_http2 模块中的一个漏洞,当使用专门设计的“Cache-Digest”标头值通过 HTTP/2 发送请求时,进程会崩溃(当尝试对资源执行 HTTP/2 PUSH 操作时会发生崩溃) 。 要阻止该漏洞,您可以使用“H2Push off”设置。
- — mod_remoteip 漏洞,允许您在代理期间使用 mod_remoteip 和 mod_rewrite 欺骗 IP 地址。 该问题仅出现在版本 2.4.1 至 2.4.23 中。
最显着的非安全变化是:
- mod_http2 已删除对规范草案的支持 ,其促销已停止。
- 更改了 mod_http2 中“LimitRequestFields”指令的行为;现在指定值 0 将禁用该限制。
- mod_http2 提供主要和次要(主/次)连接的处理以及根据使用情况标记方法。
- 如果从 FCGI/CGI 脚本接收到不正确的 Last-Modified 标头内容,则该标头现在将被删除,而不是在 Unix 纪元时间中被替换。
- 代码中添加了 ap_parse_strict_length() 函数来严格解析内容大小。
- Mod_proxy_fcgi 的 ProxyFCGISetEnvIf 确保如果给定表达式返回 False,则删除环境变量。
- 修复了使用通过 SSLProxyMachineCertificateFile 设置指定的客户端证书时的竞争条件和可能的 mod_ssl 崩溃。
- 修复了 mod_ssl 中的内存泄漏。
- mod_proxy_http2提供了代理参数的使用”» 检查新的或重复使用的后端连接的功能时。
- 当 mod_systemd 启用时,停止使用“-lsystemd”选项绑定 httpd。
- mod_proxy_http2 确保在等待通过连接到后端的传入数据时考虑 ProxyTimeout 设置。
来源: opennet.ru