Apache HTTP Server 2.4.58 已發布,引入了 33 項變更並修復了 2 個漏洞,其中兩個漏洞與使用 HTTP/XNUMX 協定對系統執行 DoS 攻擊的可能性有關。
- CVE-2023-45802 - 使用帶有 RST 標誌的資料包重置 HTTP/2 流後,由於記憶體釋放延遲,導致記憶體耗盡。由於記憶體不會在處理 RST 標誌後立即釋放,而是在連接關閉後才釋放,因此攻擊者可以透過發送新請求並使用 RST 封包重置請求(但不關閉連接)來顯著增加記憶體消耗。
- CVE-2023-43622 - 如果在初始滑動視窗大小設定為 2 的情況下開啟 HTTP/0 連接,則會無限阻止連接處理。此漏洞可用於透過耗盡允許的最大開啟連線數限制來組織拒絕服務。
- CVE-2023-31122 - mod_macro 中的漏洞允許越界讀取。
非安全變更包括:
- mod_http2 新增了在 HTTP/2 連線中使用串流 WebSocket 協定的支援 (RFC 8441)。建議使用「H2WebSockets on|off」指令來啟用基於 HTTP/2 的 WebSocket。
- 為 mod_http2 新增了「H2EarlyHint name value」指令以新增「103 Early Hints」回應標頭。
- 在 mod_http2 中,新增了「H2ProxyRequests on|off」指令來控制是否在代理程式配置中啟用 HTTP/2 請求處理。
- 在 mod_http2 中新增了「H2MaxDataFrameLen n」指令,以限制 HTTP/2 中單一 DATA 訊框中傳輸的最大回應主體大小(以位元組為單位)。預設限制為 16KB。
- 更新了 mime.types 文件,將“.js”副檔名綁定到“text/javascript”類型,而非“application/javascript”,並添加了以下擴展名:“.mjs”(類型為“text/javascript”)和“.opus”(類型為“audio/ogg”)。新增了 WebAssembly 中使用的 MIME 類型和副檔名。
- mod_tls 模組(Rust 語言中 mod_ssl 的替代品)已轉換為使用 rustls-ffi 0.9.2+ 函式庫。
- 在 mod_md 新增了「MDMatchNames all|servernames」指令來控制 MDomains 到 VirtualHosts 內容的對應。
- 已將「MDChallengeDns01Version」指令新增至 mod_md 模組,以選擇用於 DNS 驗證的 ACME 協定版本。
- 在 mod_md 中,允許對單一 DNS 伺服器使用 MDChallengeDns01 指令。 德奧梅諾夫.
- 向 mod_dav 新增了「DavBasePath」指令來配置 WebDav 儲存庫根目錄的路徑。
- 為 mod_alias 新增了「AliasPreservePath」指令,以用作 Location 區塊中 Alias 值的完整路徑。
- 向 mod_alias 新增了「RedirectRelative」指令以允許使用相對路徑進行重定向。
- %{z} 和 %{strftime-format} 格式說明符已新增至 ErrorLogFormat 指令。
- 向 mod_deflate 新增了「DeflateAlterETag」指令,以控制使用壓縮時 ETag 的改變。
- send_brigade_nonblocking() 函數的效能已經最佳化。
- Mod_status 已更新,刪除了重複的按鍵“BusyWorkers”和“IdleWorkers”,並添加了新的計數器“GracefulWorkers”。
來源: opennet.ru
