The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-сервера Apache 2.4.58 с устранением DoS-уязвимостей в HTTP/2

21.10.2023 23:23

Опубликован релиз HTTP-сервера Apache 2.4.58, в котором представлено 33 изменения и устранены три уязвимости, две из которых связаны с возможностью осуществления DoS-атаки на системы, использующие протокол HTTP/2.

  • CVE-2023-45802 - создание условий для исчерпания свободной памяти из-за отложенного освобождения памяти после сброса потока HTTP/2 пакетом с флагом RST. Так как память освобождается не сразу после обработки флага RST, а только после закрытия соединения, атакующий может значительно повысить потребление памяти, отправляя новые запросы и сбрасывая их RST-пакетом, но при этом не закрывая соединение.
  • CVE-2023-43622 - бесконечная блокировка обработки соединения HTTP/2, если оно было открыто с выставлением в 0 начального размера скользящего окна. Уязвимость может использоваться для организации отказа в обслуживании через исчерпание лимита на максимально допустимое число открытых соединений.
  • CVE-2023-31122 - уязвимость в mod_macro, приводящая к чтению данных из области вне выделенного буфера.

Среди изменений, не связанных с безопасностью:

  • В mod_http2 добавлена поддержка использования протокола WebSocket поверх потока в соединении HTTP/2 (RFC 8441). Для включения WebSocket поверх HTTP/2 предложена директива 'H2WebSockets on|off'.
  • В mod_http2 добавлена директива 'H2EarlyHint name value' для добавлена заголовков в ответ "103 Early Hints".
  • В mod_http2 добавлена директива 'H2ProxyRequests on|off' для управление включением обработки запросов по протоколу HTTP/2 в конфигурации прокси.
  • В mod_http2 добавлена директива 'H2MaxDataFrameLen n' для ограничения максимального размера тела ответа в байтах, передаваемого в одном DATA-кадре в HTTP/2. По умолчанию задан лимит в 16КБ.
  • Обновлён файл mime.types, в котором расширение ".js" привязано к типу 'text/javascript' вместо 'application/javascript' и добавлены расширения: ".mjs" (с типом 'text/javascript') и ".opus" ('audio/ogg'). Добавлены MIME-типы и расширения, применяемые в WebAssembly.
  • Модуль mod_tls (альтернатива mod_ssl на языке Rust) переведён на использование библиотеки rustls-ffi 0.9.2+.
  • В модуль mod_md добавлена директива 'MDMatchNames all|servernames' для управления сопоставлением MDomains с содержимым VirtualHosts.
  • В модуль mod_md добавлена директива 'MDChallengeDns01Version' для выбора версии протокола ACME, используемого при верификации через DNS.
  • В mod_md разрешено использование директивы MDChallengeDns01 для отдельных доменов.
  • В mod_dav добавлена директива 'DavBasePath' для настройки пути к корню репозитория WebDav.
  • В mod_alias добавлена директива 'AliasPreservePath' для использования в качестве полного пути значения Alias в блоке Location.
  • В mod_alias добавлена директива 'RedirectRelative', допускающая перенаправление с использованием относительных путей.
  • В директиву ErrorLogFormat добавлены спецификаторы формата %{z} и %{strftime-format}.
  • В mod_deflate добавлена директива 'DeflateAlterETag' для управления изменением ETag при использовании сжатия.
  • Проведена оптимизация производительности функции send_brigade_nonblocking().
  • В mod_status обеспечено удаление дубликатов ключей "BusyWorkers" и "IdleWorkers", и добавлен новый счётчик "GracefulWorkers".


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Релиз http-сервера Apache 2.4.56 с устранением уязвимостей
  3. OpenNews: Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта
  4. OpenNews: Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта
  5. OpenNews: Для http-сервера Apache будет подготовлен TLS-модуль, написанный на языке Rust
  6. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59971-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 00:16, 22/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –7 +/
    > Релиз http-сервера Apache

    Ух, повеял запашок нафталина из бабушкиного шкафа в далеком детстве.

     
     
  • 2.3, Абра (?), 00:25, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Либо Вы предлагаете альтернативы, либо очередное голословное заявление
     
     
  • 3.5, Аноним (2), 00:38, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• –14 +/
    Ещё скажи что ты про aws, azure и т.д. ничего не слышал. Как там в твоей Кастраме сидится в местечковом НИИ? Интернет какой? Небось adsl 64 килобит?
     
     
  • 4.11, Аноним (11), 02:49, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +7 +/
    >aws, azure

    Рука лицо. Конечно же лучше отдаваться на волю корпораций нежели поднять свой сервер. Откуда вы только по вылазили, модные молодежные.

     
     
  • 5.17, Аноним (17), 03:52, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• –4 +/
    Рукалицо — это в первую очередь про сисадминов локалхоста, вожделеющих «свой сервер». Для остальных это бизнес, ничего личного. Циферки показывают, что в большинстве случаев «свой сервер» обходится дороже, чем грамотная облачная архитектура.
     
     
  • 6.18, Аноним (2), 04:32, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Свой север обходится всегда дороже если это реально сервер, а не игрушка которая включается пару раз в день. Начиная от энергопотребления, необходимости иметь админа который шарит в железе, серверной, заканчивая надёжностью, удобством и аптаймом. Но вот я уверен, что мой коммент местные деды закидают минусами.
     
  • 6.32, Tron is Whistling (?), 09:38, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ровно до момента, пока тебя не интересует сохранность данных или не надо соблюдать GDPR, например.
     
     
  • 7.37, пох. (?), 11:29, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    ну вот нет, соблюдать и прочие религиозные обряды как раз правильней передать в оооооблачко (гейропские прекрасно соблюдают, обложились сурами и хадисами и соблюдают, во всю).

    К сохранности данных разумеется все это отношения не имеет, только к религии.

     
  • 6.35, YetAnotherOnanym (ok), 11:21, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Куколд (дословно - рогоносец) - человек, добровольно отдающий посторонним что-либо важное, что должно находиться в его исключительном владении.
     
     
  • 7.44, Аноним (44), 13:05, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    А кто сказал что данные моих пользователей мне важны?

    Они eulu подписали? Подписали.
    Там было написано что оно хранится у гугла? Было.
    Им что-то не нравится? Пусть переходят к другому поставщику услуг.
    Нафиг мне головняк с безопасностью ИХ данных. Если будут проблемы - пусть разбираются с гуглом.

     
     
  • 8.51, Аноним (2), 19:29, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Аплодирую стоя без иронии ... текст свёрнут, показать
     
  • 8.53, Tron is Whistling (?), 21:03, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    И ведь перейдут, лол Не, в этой стране не перейдут В Европе - запросто Обгадя... текст свёрнут, показать
     
     
  • 9.54, Аноним (44), 21:56, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    В этой стране гордые одмины одиночки будут разворачивать свои локалхоты в полной... текст свёрнут, показать
     
     
  • 10.55, Tron is Whistling (?), 00:01, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Я понимаю, что альтернативная реальность и розовые пони - это хорошо, но выпади ... текст свёрнут, показать
     
     
  • 11.60, User (??), 07:04, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Это в тот, в котором тындекс за утечкуу данных клинетов 20, что ли тысяч заплати... текст свёрнут, показать
     
     
  • 12.62, Tron is Whistling (?), 09:13, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Не, ну реальный мир - это не про эту страну опять же, здесь условно театр одной ... текст свёрнут, показать
     
  • 11.63, Аноним (44), 10:00, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    При чем тут альтернативная реальность Давай тогда пруфы когда за взлом дают реа... текст свёрнут, показать
     
     
  • 12.64, Tron is Whistling (?), 12:20, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Именно за взломы - да пожалуйста, https www wsj com world russia russian-hacke... текст свёрнут, показать
     
     
  • 13.67, Анонин (?), 16:25, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Что-то мне кажется, мы о разных вещах говорим Напомню, что изначально в треде п... текст свёрнут, показать
     
     
  • 14.70, Tron is Whistling (?), 23:32, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Срок тому, КОГО взломали Батенька лютый фантазёр Но по голове всё равно не пог... текст свёрнут, показать
     
  • 12.65, Tron is Whistling (?), 12:26, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Мелочёвка по понятным причинам в крупные новости не попадает Но если вы в Европ... текст свёрнут, показать
     
     
  • 13.66, Tron is Whistling (?), 12:28, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    конкретно у нас сейчас вообще 100 политика на локализацию данных, что меня нес... текст свёрнут, показать
     
     
  • 14.68, Анонин (?), 16:27, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну удачи, думаю нам больше не о чем говорить ... текст свёрнут, показать
     
  • 5.19, Аноним (2), 04:39, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Если ты такой уж нефтяной магнат и политик топ уровня, что аж не боишься западных корпораций, найди местную со скрепами.
     
  • 5.27, Аноним (27), 07:27, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    > нежели поднять свой сервер

    Лет 15 назад это было бы круто. Сейчас к собственному серверу полагается иметь отдел ИБ со специалистами, который не каждая корпорация потянет. Поэтому - только аутсорсинг. К сожалению, т.к. "поиграться" не удастся.

     
  • 4.29, Аноним (29), 08:28, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Облачный стэк к твоему неумению настраивать вэб-сервер никак не относится. В конечном счёте "облака" в значительной части построены на всём том же, что доступно локально. А если ты не разрабатывал никогда ничего в жизни, а сразу "мне всё в облако", особенно IoT, то ты тот ещё прыщеносец - иди на другие курсы, там тебе ещё что-то продадут
     
  • 4.34, лютый арчешкольник... (?), 09:55, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    >скажи что ты про aws, azure и т.д. ничего не слышал

    что мешает любителям нафталина гонять апача в абажурных авс? )

     
     
  • 5.57, _ (??), 04:12, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Естественно ничего не мешает. Даже больше скажу - там апача даааалеко не нуль. (И да - я и сам офигел сколько 8-о )
    Но откуда это знать салагам? :-) Ониж думают что там "что то другое" а не просто чужой контупер :)
     
  • 4.61, User (??), 08:28, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    А чем мне aws\azure поможет, если росатомные датасатанисты в клювике принесли аналоговнету на astra linux -apache + mod_php - postgres?
     
  • 3.39, Ilya Indigo (ok), 12:10, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    На N начинается, на X заканчивается, запамятовал, очень длинное название и про него мало кто знает, он ужасно редкий.
     
     
  • 4.46, OpenEcho (?), 13:24, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > На N начинается, на X заканчивается, запамятовал, очень длинное название и про него мало кто знает, он ужасно редкий.

    Не боись, он скоро укоротится в названии до F5

     
     
  • 5.58, _ (??), 04:14, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Бросить раскрученный trademark(tm) ?!?!?
    Да за такое и партбилет на стол можно!
    :-D
     
  • 4.56, Tron is Whistling (?), 00:04, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Не вставать колом из-за модулей уже умеет? Динамику внутрь навесили, или только FCGI?
    Ну и нафиг он такой красивый нужен? Для прокси есть haproxy, для всего остального - апач.
     
     
  • 5.59, _ (??), 04:15, 23/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Девушки бывают разные (С) Норот
     
  • 2.4, Аноним (4), 00:32, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Всех недалеких хайпажоров хотел спросить, вас апач в какое место укусил?
     
     
  • 3.6, Аноним (2), 00:39, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    Да ни в какое. Нормальная вещь была. Ключевое БЫЛА. Лет 15-20 назад. На пороге вообщет 2к24
     
  • 2.23, leap42 (ok), 05:28, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    А что, в http завезли что-то новое, чего в Апачи нет (да, это читается именно так)? Проблема сабжа не в возрасте, а в конфигах, которые придумали кальмары для осьминогов, неоптимальных (для перфы) дефолтах и общей громоздкости в архитектуре.
     
     
  • 3.24, Вася (??), 06:43, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    http скорее просто увезли, если ты об этом. Зато привезли парочку новых https
     
     
  • 4.28, Аноним (27), 07:35, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    > Зато привезли парочку новых https

    Вот тут поподробнее. Если на внутреннем сервере мы делем https, то каким-то образом нужно создать дыру наружу для этого самого s. Ошибаюсь? Да, и при каждом обращении к серверу будет обращение к удостоверяющему центру. Который может внезапно :) стать не доступным. Нет, конечно можно использовать как бы типа госсертификат. Но тогда вообще какой смысл в https?

     
     
  • 5.30, Вася (??), 08:40, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Зато привезли парочку новых https
    > Вот тут поподробнее. Если на внутреннем сервере мы делем https, то каким-то
    > образом нужно создать дыру наружу для этого самого s. Ошибаюсь? Да,
    > и при каждом обращении к серверу будет обращение к удостоверяющему центру.
    > Который может внезапно :) стать не доступным. Нет, конечно можно использовать
    > как бы типа госсертификат. Но тогда вообще какой смысл в https?

    на вопросы про "внезапно" ответ может быть один:
    почему ты мне задаешь вопросы, которые решаются административно?
    я что ли хочу следить за тобой в интернете 24х7 или слабовик с комплексом бога?
    единственное, как тут можно противостоять - это НЕ помогать. Либо s с доверенными сертификатами, либо никак.

     
  • 5.40, fi (ok), 12:23, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    > Да, и при каждом обращении к серверу будет обращение к удостоверяющему центру

    Насколько нужно быть ниже плинтуса чтоб писать такую чушь.  так и проситься — «Аноним порол чушь, она визжала» :DDDDDDDDDD

     
  • 4.33, Tron is Whistling (?), 09:40, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну привезли и привезли. Связка haproxy->apache через доверенную сеть позволяет не париться по поводу того, что там ещё снаружи подвезли. Внутри голый HTTP, снаружи хоть чёрт лысый.
     
  • 2.31, ivan_erohin (?), 09:13, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    как только веб-погромисты забьют на .httacces окончательно совсем,
    так сразу свежим воздухом и повеет.
     
     
  • 3.72, rvs2016 (ok), 02:33, 28/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    > как только веб-погромисты забьют
    > на .httacces окончательно совсем

    А эти разве продолжают ещё использовать?
    Они ж были нужны тогда, когда раздавались "домашние странички" юзерам, которых не пустишь же внутрь httpf.conf.
    Но те времена давно ж лет 25 назад прошли уж.
    Или не прошли?! 😲

     
     
  • 4.73, ivan_erohin (?), 07:36, 29/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    > А эти разве продолжают ещё использовать?

    разумеется !
    .htaccess - быстрый метод исправить что-то (в т.ч. заткнуть свеженайденую дырку.),
    не лазя в легаси php код, который кое-как работает и не трожь а то сломаешь.

     
  • 4.74, ivan_erohin (?), 09:48, 01/11/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    можно было ответить короче и одним словом: Bitrix !
    (тоже дрянь-программа уровня 1С, только вебня).
     
  • 2.47, FF (?), 14:19, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +/
    А ты что-нибудь сделал такого, что уже годами работает и служит? Такое надо латать хотя бы.
     
  • 2.48, FF (?), 14:23, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Если все время переписывать под новые модные фреймворки, выходящие раз в квартал с новым API, то новым будет как раз некогда заниматься.
     
  • 2.49, FF (?), 14:27, 22/10/2023 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    А ещё в том же PHP не нужно качать leaftpad() и isZero() всякие, они там из коробки с документацией.
     

  • 1.36, YetAnotherOnanym (ok), 11:28, 22/10/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +3 +/
     

  • 1.69, Аноним (-), 20:25, 23/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    да нормально апач пашет, любое внутреннее веб-приложение/сервис обслуживает на ура, из коробки вместе с любой обвязкой выбранной
     
  • 1.71, rvs2016 (ok), 02:16, 28/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А когда они вернут поддержку FastCGI?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру