Вышел Apache HTTP Server 2.4.58 с устранением трех уязвимостей и различными улучшениями.

апаш

HTTP-сервер Apache — это веб-сервер HTTP с открытым исходным кодом, который позволяет обслуживать контент по запросам, поступающим от веб-браузеров.

В выпуск новой версии HTTP-сервера Apache 2.4.58, который прибывает устранение трех уязвимостей. два из них связаны с возможностью проведения DoS-атаки на системы, использующие протокол HTTP/2. Эта версия Apache является последней общедоступной версией ветки 2.4.x, которая упоминается как «олицетворяющая пятнадцать лет инноваций проекта», и поэтому эта версия Apache представляет собой выпуск безопасности, функций и исправлений ошибок.

Тем, кто не знаком с Apache, следует знать, что это такое. веб-сервер HTTP с открытым исходным кодом, который доступен для платформ Unix (BSD, GNU / Linux и др.), Microsoft Windows, Macintosh и других.



Что нового в Apache HTTP 2.4.58?

В этой новой версии Apache HTTP Server 2.4.58 в модуле mod_http2 добавляет поддержку использования протокола WebSocket. посредством передачи через соединение HTTP/2 (RFC 8441), в то время как mod_tls (альтернатива mod_ssl в языке Rust) переведен для использования библиотеки Rustls-ffi 0.9.2+. а Mod_status гарантирует, что повторяющиеся ключи «BusyWorkers» и «IdleWorkers» будут удалены и добавлен новый счетчик «GracefulWorkers».



Другими изменениями, которые выделяются в новой версии, являются добавлены новые директивы, которые являются директивой ‘DeflateAlterETag’ для mod_deflate для управления изменением ETag при использовании сжатия, ‘MDMatchNames все | имена серверов’ в модуль mod_md, чтобы контролировать, как MDomains соотносятся с содержимым VirtualHosts, «DavBasePath» в mod_dav, чтобы установить путь к корню репозитория. WebDav, «AliasPreservePath» для mod_alias использовать значение Alias ​​в блоке Location в качестве полного пути, «RedirectRelative» на mod_alias, разрешение перенаправления с использованием относительных путей и «H2ProxyRequests on|off» для mod_http2 чтобы контролировать, включена ли обработка запросов HTTP/2 в настройках прокси.

Со стороны исправления безопасности, Отмечается, что были рассмотрены следующие вопросы:



  • CVE-2023-45802: Состояние нехватки памяти создается из-за задержки освобождения памяти после того, как пакет с флагом RST сбрасывает поток HTTP/2. Поскольку память освобождается не сразу после обработки флага RST, а только после закрытия соединения, злоумышленник может существенно увеличить потребление памяти, отправляя новые запросы и сбрасывая их пакетом RST, но без закрытия соединения.

  • CVE-2023-43622: обработка соединения HTTP/2 блокируется на неопределенный срок, если оно было открыто с начальным размером скользящего окна, равным 0. Уязвимость может быть использована для вызова отказа в обслуживании путем превышения ограничения максимально допустимого количества открытых соединений.

  • CVE-2023-31122: — это уязвимость в mod_macro, которая позволяет считывать данные из области за пределами выделенного буфера.

Из других изменений которые выделяются из этой новой версии:

  • Чтобы включить WebSocket через HTTP/2, параметр ‘H2WebSockets включен | выключен».

  • Директива ‘H2MaxDataFrameLen n‘ был добавлен в mod_http2 чтобы ограничить максимальный размер тела ответа в байтах, передаваемых в кадре DATA в HTTP/2. Ограничение по умолчанию составляет 16 КБ.

  • архив mime.types обновлено, в котором расширение «. Js» связан с типом ‘текст/Javascript’ скорее ‘приложение/javascript’ и были добавлены расширения: «.MJS» (с типом ‘текст / JavaScript‘) и «.опус«(‘аудио/ogg‘). Добавлены типы и расширения MIME, используемые в WebAssembly.

  • Директива ‘MDChallengeDns01Версия‘ был добавлен в модуль mod_md чтобы выбрать версию протокола ACME, используемую для проверки DNS.

  • mod_md позволяет использовать директиву MDChallengeDns01 для отдельных доменов.

  • спецификаторы формата %{z} и %{strftime-format} были добавлены в директиву Формат журнала ошибок.

  • Производительность функций была оптимизирована send_brigade_nonblocking().



В конце концов если вам интересно узнать об этом больше об этой новой версии HTTP-сервера Apache, вы можете проверить подробности По следующей ссылке.

Выполнять

Вы можете получить новую версию, перейдя на официальный сайт Apache, и в разделе загрузок вы найдете ссылку на новую версию.



Ссылка такая.




2023-10-25T18:57:09
приложений