Apache HTTP Server 2.4.58 arriba solucionant tres vulnerabilitats i amb diverses millores

Darkcrizt

4 minuts

Apache

El servidor HTTP Apache és un servidor web HTTP de codi obert, que permet servir contingut de les sol·licituds que vénen des dels navegadors web

Es va donar a conèixer el llançament de la nova versió de del servidor Apache HTTP 2.4.58, La qual arriba abordant tres vulnerabilitats. dues de les quals estan relacionades amb la possibilitat de fer un atac DoS en sistemes que utilitzin el protocol HTTP/2. Aquesta versió d'Apache és l'últim llançament GA de la branca 2.4.x que s'esmenta que «representa quinze anys d'innovació per part del projecte», i com a tal aquesta versió d'Apache és una versió de seguretat, funcions i correcció d'errors .

Per als qui desconeixen d'Apache, han de saber que és un servidor web HTTP de codi obert, El qual està disponible per a les plataformes Unix (BSD, GNU / Linux, etc.), Microsoft Windows, Macintosh i altres.

Què hi ha de nou a Apache HTTP 2.4.58?

En aquesta nova versió que es presenta d'Apache HTTP Server 2.4.58, al mòdul mod_http2 s'afegeix suport per utilitzar el protocol WebSocket mitjançant una transmissió en una connexió HTTP/2 ( RFC 8441), mentre que mod_tls (una alternativa a mod_ssl en el llenguatge Rust) s'ha traduït per utilitzar la biblioteca Rustls-ffi 0.9.2+ i Mod_status garanteix que s'eliminin les claus duplicades BusyWorkers i IdleWorkers i que s'afegeixi un nou comptador GracefulWorkers.

Altres dels canvis que es destaquen de la nova versió, són les noves directives afegides, les quals són la directiva 'DeflateAlterETag' a mod_deflate per controlar com canvia ETag quan es fa servir la compressió, 'MDMatchNames all|servernames' al mòdul mod_md per controlar com es relacionen MDomains amb el contingut de VirtualHosts, 'DavBasePath' a mod_dav per configurar la ruta a la root del repositori WebDav, 'AliasPreservePath' a mod_alias per utilitzar el valor d'Àlies al bloc Ubicació com a ruta completa, 'RedirectRelative' a mod_alias, el que permet la redirecció utilitzant rutes relatives i 'H2ProxyRequests on|off' a mod_http2 per controlar si el processament de sol·licituds HTTP/2 està habilitat a la configuració del servidor intermediari.

Per la part de les correccions de seguretat, s'esmenta que es van abordar les següents:

  • CVE-2023-45802: Es crea una condició d'esgotament de la memòria degut a una desasignació de memòria retardada després que un paquet amb l'indicador RST restableixi una seqüència HTTP/2. Atès que la memòria no s'allibera immediatament després que es processa l'indicador RST, sinó només després de tancar la connexió, un atacant pot augmentar significativament el consum de memòria enviant noves sol·licituds i buidant-les amb un paquet RST, però sense tancar la connexió.
  • CVE-2023-43622: El processament de la connexió HTTP/2 es bloqueja indefinidament si es va obrir amb la mida de la finestra lliscant inicial establerta en 0. La vulnerabilitat es pot utilitzar per provocar una denegació de servei en excedir el límit del nombre màxim permès de connexions obertes.
  • CVE-2023-31122: és una vulnerabilitat a mod_macro que permet llegir dades des d'una àrea fora del memòria intermèdia assignat.

Dels altres canvis que es destaquen d'aquesta nova versió:

  • Per habilitar WebSocket mitjançant HTTP/2, s'ha proposat la directiva 'H2WebSockets on|off'.
  • la directiva 'H2MaxDataFrameLen n' s'ha afegit a mod_http2 per limitar la mida màxima del cos de resposta en bytes transmesos en una trama de DADES a HTTP/2. El límit per defecte és 16 KB.
  • Arxiu mime.types actualitzat, en què l'extensió «js» està vinculada al tipus 'text/javascript' en lloc de 'application/javascript' i es van afegir extensions: «.mjs» (amb el tipus 'text / javascript') i «.opus'('àudio/ogg'). Es van afegir tipus MIME i extensions utilitzades a WebAssembly.
  • La directiva 'MDChallengeDns01Version' s'ha afegit al mòdul mod_md per seleccionar la versió del protocol ACME utilitzada per a la verificació de DNS.
  • mod_md permet l'ús de la directiva MDChallengeDns01 per a dominis individuals.
  • Els especificadors de format %{z} i %{strftime-format} s'han afegit a la directiva ErrorLogFormat.
  • S'ha optimitzat el rendiment de la funció send_brigade_nonblocking().

Finalment si estàs interessat en poder conèixer més a l'respecte sobre aquesta nova versió d'Apache HTTP server, podeu consultar els detalls en el següent enllaç.

Descàrrega

Pots obtenir la nova versió dirigint-te al lloc web oficial d'Apache ia la secció de descàrregues trobaràs l'enllaç a la nova versió.

L'enllaç és aquest.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.