Apache HTTP Server 2.4.58 hadir untuk memecahkan tiga kerentanan dan dengan berbagai peningkatan

Apache

Apache HTTP Server adalah server web HTTP sumber terbuka, yang memungkinkan penyajian konten dari permintaan yang datang dari browser web.

Itu rilis versi baru server HTTP Apache 2.4.58, yang tiba mengatasi tiga kerentanan. dua di antaranya terkait dengan kemungkinan melakukan serangan DoS pada sistem yang menggunakan protokol HTTP/2. Versi Apache ini adalah rilis GA terbaru dari cabang 2.4.x yang disebutkan sebagai "mewakili lima belas tahun inovasi proyek", dan dengan demikian versi Apache ini adalah rilis perbaikan keamanan, fitur, dan bug. .

Bagi mereka yang tidak terbiasa dengan Apache, mereka harus tahu apa itu Apache server web HTTP sumber terbuka, yang tersedia untuk platform Unix (BSD, GNU / Linux, dll.), Microsoft Windows, Macintosh, dan lainnya.

Apa yang baru di Apache HTTP 2.4.58?

Dalam versi baru Apache HTTP Server 2.4.58 ini, dalam modul mod_http2 menambahkan dukungan untuk menggunakan protokol WebSocket melalui transmisi melalui koneksi HTTP/2 (RFC 8441), sementara mod_tls (alternatif untuk mod_ssl dalam bahasa Rust) telah diterjemahkan untuk menggunakan perpustakaan Rustls-ffi 0.9.2+ dan Mod_status memastikan bahwa kunci duplikat “BusyWorkers” dan “IdleWorkers” dihapus dan penghitung baru “GracefulWorkers” ditambahkan.

Perubahan lain yang menonjol di versi baru adalah arahan baru ditambahkan, yang merupakan arahan 'DeflateAlterETag' menjadi mod_deflate untuk mengontrol bagaimana ETag berubah saat kompresi digunakan, 'MDMatchNames semua|nama server' ke modul mod_md untuk mengontrol bagaimana MDomains berhubungan dengan konten VirtualHosts, 'DavBasePath' ke mod_dav untuk mengatur jalur ke root repositori WebDav, 'AliasPreservePath' ke mod_alias untuk menggunakan nilai Alias ​​​​di blok Lokasi sebagai jalur lengkap, 'RedirectRelative' ke mod_alias, memungkinkan pengalihan menggunakan jalur relatif dan 'H2ProxyRequests aktif|mati' ke mod_http2 untuk mengontrol apakah pemrosesan permintaan HTTP/2 diaktifkan di pengaturan proksi.

Pada bagian dari perbaikan keamanan, Disebutkan bahwa hal-hal berikut telah ditangani:

  • CVE-2023-45802: Kondisi kehabisan memori terjadi karena penundaan alokasi memori setelah paket dengan flag RST me-reset aliran HTTP/2. Karena memori tidak segera dibebaskan setelah flag RST diproses, namun hanya setelah koneksi ditutup, penyerang dapat meningkatkan konsumsi memori secara signifikan dengan mengirimkan permintaan baru dan membilasnya dengan paket RST, namun tanpa menutup koneksi.
  • CVE-2023-43622: Pemrosesan koneksi HTTP/2 diblokir tanpa batas waktu jika dibuka dengan ukuran jendela geser awal diatur ke 0. Kerentanan dapat digunakan untuk menyebabkan penolakan layanan dengan melebihi batas jumlah maksimum koneksi terbuka yang diperbolehkan.
  • CVE-2023-31122: adalah kerentanan di mod_macro yang memungkinkan data dibaca dari area di luar buffer yang dialokasikan.

Dari perubahan lainnya yang menonjol dari versi baru ini:

  • Untuk mengaktifkan WebSocket melalui HTTP/2, 'H2WebSockets hidup|mati'.
  • Pengarahan 'H2MaxDataFrameLen n' ditambahkan ke mod_http2 untuk membatasi ukuran maksimum isi respons dalam byte yang dikirimkan dalam bingkai DATA di HTTP/2. Batas defaultnya adalah 16 KB.
  • Arsip pantomim.tipe diperbarui, di mana ekstensi «. Js» ditautkan ke tipe 'teks/javascript' lebih tepatnya 'aplikasi/javascript' dan ekstensi ditambahkan: «.mjs» (dengan tipe 'teks/javascript') Dan ".karya'('audio/ogg'). Menambahkan tipe dan ekstensi MIME yang digunakan di WebAssembly.
  • Pengarahan 'Versi MDChallengeDns01' telah ditambahkan ke modul mod_md untuk memilih versi protokol ACME yang digunakan untuk verifikasi DNS.
  • mod_md memungkinkan penggunaan arahan MDChallengeDns01 untuk domain individu.
  • penentu format %{z} dan %{strftime-format} telah ditambahkan ke arahan Format Log Kesalahan.
  • Kinerja fungsi telah dioptimalkan kirim_brigade_nonblocking().

Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya tentang versi baru server HTTP Apache ini, Anda dapat memeriksa detailnya Di tautan berikut.

Melaksanakan

Anda bisa mendapatkan versi baru dengan mengunjungi situs resmi Apache dan di bagian unduhannya Anda akan menemukan tautan ke versi baru.

Tautannya adalah ini.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.