Релиз http-серверов Lighttpd 1.4.76 и Apache httpd 2.4.59
Опубликован релиз легковесного http-сервера lighttpd 1.4.76, ориентированного на сочетание высокой производительности, безопасности, соответствия стандартам и гибкости настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD.
В новой версии:
Обеспечено выявление совершения атаки «Continuation flood», осуществляемой через отправку на сервер HTTP/2 непрекращающегося потока кадров CONTINUATION без выставления флага END_HEADERS. Утверждается, что данная атака не приводит к отказу в обслуживании lighttpd, но в качестве дополнительной меры добавлено её выявление и отправка ответа GO_AWAY.
Учтён инцидент с внедрением бэкдора в пакет xz. При создании релизов для сборки зависимостей теперь используется получение кода из Git командой «git archive» с верификацией по тегам релиза и без загрузки готовых архивов с кодом.
- По умолчанию предоставлен встроенный файл mimetype.assign.
- Добавлена поддержка расширения MPTCP (MultiPath TCP), которая не активирована по умолчанию.
- Улучшена поддержка платформ GNU/Hurd и NetBSD 10.
Сокращено число системных вызовов, совершаемых при подключениях к бэкенду.
В следующих выпусках планируется выставить TLSv1.3 в качестве минимально поддерживаемой по умолчанию версии протокола TLS (сейчас параметр MinProtocol выставлен в значение TLSv1.2). В будущем обработчик server.error-handler-404 будет ограничен только обработкой ошибок 404 (сейчас обрабатывается как 404, так и 403).
Также можно отметить релиз HTTP-сервера Apache 2.4.59, в котором представлено 21 изменение и устранены три уязвимости:
- CVE-2024–27316 — уязвимость, приводящая к исчерпанию свободной памяти при совершении атаки «Continuation flood».
CVE-2024–24795, CVE-2023–38709 — возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
В модуль mod_cgi добавлен параметр CGIScriptTimeout для выставления таймаута выполнения скрипта.
В mod_xml2enc обеспечена совместимость с libxml2 2.12.0 и более новыми выпусками.
В mod_ssl для компоновки списков имён удостоверяющих центров при обработке директив SSLCACertificatePath и SSLCADNRequestPath адействованы штатные функции OpenSSL.
- В mod_xml2enc обеспечена обработка XML для любых MIME-типов text/* и XML для исключения повреждения данных в форматах Microsoft OOXML.
- В утилите htcacheclean при указании опций -a/-A реализован перебор всех файлов для каждого подкаталога.
- В mod_ssl в директивах SSLProxyMachineCertificateFile/Path разрешено ссылаться на файлы, содержащий сертификаты удостоверяющих центров.
В документации к утилитам htpasswd, htdbm и dbmmanage уточнено, что в них используется хэширование, а не шифрование паролей.
В htpasswd добавлена поддержка обработки хэшей паролей, используя алгоритм SHA-2.
В mod_env разрешено переопределение системных переменных окружения.
В mod_ldap реализовано экранирование HTML-данных в заголовке ldap-status.
В mod_ssl улучшена совместимость с OpenSSL 3 и обеспечено возвращение системе освобождённой памяти.
- В mod_proxy разрешено выставление TTL для настройки времени жизни записи в кэше DNS-ответов.
В mod_proxy в параметр ProxyRemote добавлена поддержка третьего аргумента, через который можно настроить передаваемые на внешний прокси учётные данные для Basic-аутентификации.
Источник: http://www.opennet.ru/opennews/art.shtml? num=60990
© OpenNet