Apache HTTP Sunucusu 2.4.58, üç güvenlik açığını çözerek ve çeşitli iyileştirmelerle geliyor

bu Apache HTTP sunucusu 2.4.58'in yeni sürümünün yayımlanmasıhangi gelir üç güvenlik açığını ele alıyor. Bunlardan ikisi HTTP/2 protokolünü kullanan sistemlere DoS saldırısı gerçekleştirilme olasılığıyla ilgilidir. Apache'nin bu sürümü, "projenin on beş yıllık yeniliğini temsil ettiği" belirtilen 2.4.x dalının en son GA sürümüdür ve bu nedenle Apache'nin bu sürümü bir güvenlik, özellik ve hata düzeltme sürümüdür.

Apache'ye aşina olmayanlar için ne olduğunu bilmeleri gerekir. açık kaynaklı bir HTTP web sunucusu, Unix platformları (BSD, GNU / Linux, vb.), Microsoft Windows, Macintosh ve diğerleri için kullanılabilir.

Apache HTTP 2.4.58'deki yenilikler neler?

Apache HTTP Sunucusu 2.4.58'in bu yeni sürümünde, modülde mod_http2, WebSocket protokolünü kullanma desteği ekler HTTP/2 bağlantısı (RFC 8441) üzerinden iletim aracılığıyla mod_tls (Rust dilinde mod_ssl'ye bir alternatif) Rustls-ffi 0.9.2+ kütüphanesini kullanacak şekilde çevrildi ve Mod_status, "BusyWorkers" ve "IdleWorkers" yinelenen anahtarlarının kaldırılmasını ve yeni bir "GracefulWorkers" sayacının eklenmesini sağlar.

Yeni versiyonda öne çıkan diğer değişiklikler ise; yeni direktifler eklendi, direktif olan mod_deflate'e 'DeflateAlterETag' sıkıştırma kullanıldığında ETag'ın nasıl değişeceğini kontrol etmek için, 'MDMatchNames all|sunucu adları' MDomain'lerin VirtualHost'ların içeriğiyle nasıl ilişkili olduğunu kontrol etmek için mod_md modülüne, depo kökünün yolunu ayarlamak için 'DavBasePath' mod_dav'a WebDav, mod_alias'a 'AliasPreservePath' Location bloğundaki Alias ​​​​değerini tam yol olarak kullanmak için, mod_alias'a 'RedirectRelative', göreceli yolları kullanarak yeniden yönlendirmeye izin vermek ve 'H2ProxyRequests açık|kapalı' mod_http2'ye proxy ayarlarında HTTP/2 istek işlemenin etkin olup olmadığını kontrol etmek için.

kısmında güvenlik düzeltmeleri, Şu konulara değinildiği belirtildi:

• CVE-2023-45802: RST bayrağına sahip bir paket bir HTTP/2 akışını sıfırladıktan sonra, gecikmeli bellek tahsisinin kaldırılması nedeniyle bir bellek tükenmesi durumu yaratılır. Bellek, RST bayrağı işlendikten hemen sonra değil, yalnızca bağlantı kapatıldıktan sonra serbest bırakıldığından, bir saldırgan, yeni istekler göndererek ve bunları bir RST paketiyle temizleyerek, ancak bağlantıyı kapatmadan bellek tüketimini önemli ölçüde artırabilir.
• CVE-2023-43622: HTTP/2 bağlantısının işlenmesi, başlangıçtaki kayan pencere boyutu 0 olarak ayarlanmış şekilde açılmışsa süresiz olarak engellenir. Güvenlik açığı, izin verilen maksimum açık bağlantı sayısı sınırını aşarak hizmet reddine neden olmak için kullanılabilir.
• CVE-2023-31122: mod_macro'da, verilerin tahsis edilen arabellek dışındaki bir alandan okunmasına izin veren bir güvenlik açığıdır.

Diğer değişikliklerden bu yeni sürümden öne çıkan:

• WebSocket'i HTTP/2 üzerinden etkinleştirmek için 'H2WebSockets açık|kapalı'.
• Direktif 'H2MaxDataFrameLen n' eklendi mod_http2 HTTP/2'deki bir DATA çerçevesinde iletilen yanıt gövdesinin maksimum boyutunu bayt cinsinden sınırlamak için. Varsayılan sınır 16 KB'dir.
• arşiv mim.türleri güncellendi, burada uzantı «. Js» ' tipine bağlımetin/javascript' yerine 'uygulama/javascript' ve uzantılar eklendi: «.mj'ler» (' türüyletext / javascript') Ve ".başyapıt"('ses/ogg'). WebAssembly'da kullanılan MIME türleri ve uzantıları eklendi.
• Direktif'MDChallengeDns01Versiyonu' modülüne eklendi mod_md DNS doğrulaması için kullanılan ACME protokolü sürümünü seçmek için.
• mod_md direktifin kullanımına izin verir MDChallengeDns01 bireysel alanlar için.
• biçim belirticileri %{z} ve %{strftime-format} Direktife eklendi ErrorLogFormat.dll
• İşlev performansı optimize edildi send_brigade_nonblocking().

Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan Apache HTTP sunucusunun bu yeni sürümü hakkında ayrıntıları kontrol edebilirsiniz. Aşağıdaki bağlantıda.

Boşaltmak

Yeni sürümü resmi Apache web sitesine giderek edinebilirsiniz ve indirmeler bölümünde yeni sürümün bağlantısını bulacaksınız.

Bağlantı bu.