Релиз http-серверов Lighttpd 1.4.76 и Apache httpd 2.4.59

Опубликован релиз легковесного http-сервера lighttpd 1.4.76, ориентированного на сочетание высокой производительности, безопасности, соответствия стандартам и гибкости настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новой версии:

  • Обеспечено выявление совершения атаки «Continuation flood», осуществляемой через отправку на сервер HTTP/2 непрекращающегося потока кадров CONTINUATION без выставления флага END_HEADERS. Утверждается, что данная атака не приводит к отказу в обслуживании lighttpd, но в качестве дополнительной меры добавлено её выявление и отправка ответа GO_AWAY.

  • Учтён инцидент с внедрением бэкдора в пакет xz. При создании релизов для сборки зависимостей теперь используется получение кода из Git командой «git archive» с верификацией по тегам релиза и без загрузки готовых архивов с кодом.

  • По умолчанию предоставлен встроенный файл mimetype.assign.
  • Добавлена поддержка расширения MPTCP (MultiPath TCP), которая не активирована по умолчанию.
  • Улучшена поддержка платформ GNU/Hurd и NetBSD 10.
  • Сокращено число системных вызовов, совершаемых при подключениях к бэкенду.

  • В следующих выпусках планируется выставить TLSv1.3 в качестве минимально поддерживаемой по умолчанию версии протокола TLS (сейчас параметр MinProtocol выставлен в значение TLSv1.2). В будущем обработчик server.error-handler-404 будет ограничен только обработкой ошибок 404 (сейчас обрабатывается как 404, так и 403).

Также можно отметить релиз HTTP-сервера Apache 2.4.59, в котором представлено 21 изменение и устранены три уязвимости:

  • CVE-2024–27316 — уязвимость, приводящая к исчерпанию свободной памяти при совершении атаки «Continuation flood».
  • CVE-2024–24795, CVE-2023–38709 — возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.

  • В модуль mod_cgi добавлен параметр CGIScriptTimeout для выставления таймаута выполнения скрипта.

  • В mod_xml2enc обеспечена совместимость с libxml2 2.12.0 и более новыми выпусками.

  • В mod_ssl для компоновки списков имён удостоверяющих центров при обработке директив SSLCACertificatePath и SSLCADNRequestPath адействованы штатные функции OpenSSL.

  • В mod_xml2enc обеспечена обработка XML для любых MIME-типов text/* и XML для исключения повреждения данных в форматах Microsoft OOXML.
  • В утилите htcacheclean при указании опций -a/-A реализован перебор всех файлов для каждого подкаталога.
  • В mod_ssl в директивах SSLProxyMachineCertificateFile/Path разрешено ссылаться на файлы, содержащий сертификаты удостоверяющих центров.
  • В документации к утилитам htpasswd, htdbm и dbmmanage уточнено, что в них используется хэширование, а не шифрование паролей.

  • В htpasswd добавлена поддержка обработки хэшей паролей, используя алгоритм SHA-2.

  • В mod_env разрешено переопределение системных переменных окружения.

  • В mod_ldap реализовано экранирование HTML-данных в заголовке ldap-status.

  • В mod_ssl улучшена совместимость с OpenSSL 3 и обеспечено возвращение системе освобождённой памяти.

  • В mod_proxy разрешено выставление TTL для настройки времени жизни записи в кэше DNS-ответов.
  • В mod_proxy в параметр ProxyRemote добавлена поддержка третьего аргумента, через который можно настроить передаваемые на внешний прокси учётные данные для Basic-аутентификации.



Источник: http://www.opennet.ru/opennews/art.shtml? num=60990

© OpenNet