Apache HTTP Server 2.4.58 llega solucionando tres vulnerabilidades y con diversas mejoras
Se dio a conocer el lanzamiento de la nueva versión de del servidor Apache HTTP 2.4.58, la cual llega abordando tres vulnerabilidades. dos de las cuales están relacionadas con la posibilidad de realizar un ataque DoS en sistemas que utilicen el protocolo HTTP/2. Esta versión de Apache es lel último lanzamiento GA de la rama 2.4.x la cual se menciona que «representa quince años de innovación por parte del proyecto», y como tal esta versión de Apache es una versión de seguridad, funciones y corrección de errores.
Para quienes desconocen de Apache, deben saber que es un servidor web HTTP de código abierto, el cual está disponible para las plataformas Unix (BSD, GNU/Linux, etc.), Microsoft Windows, Macintosh y otras.
¿Qué hay de nuevo en Apache HTTP 2.4.58?
En esta nueva versión que se presenta de Apache HTTP Server 2.4.58, en el modulo mod_http2 se agrega soporte para usar el protocolo WebSocket a través de una transmisión en una conexión HTTP/2 ( RFC 8441), mientras que mod_tls (una alternativa a mod_ssl en el lenguaje Rust) se ha traducido para utilizar la biblioteca Rustls-ffi 0.9.2+ y Mod_status garantiza que se eliminen las claves duplicadas «BusyWorkers» e «IdleWorkers» y que se agregue un nuevo contador «GracefulWorkers».
Otros de los cambios que se destacan de la nueva versión, son las nuevas directivas añadidas, las cuales son la directiva ‘DeflateAlterETag’ a mod_deflate para controlar cómo cambia ETag cuando se usa la compresión, ‘MDMatchNames all|servernames’ al módulo mod_md para controlar cómo se relacionan MDomains con el contenido de VirtualHosts,´ ‘DavBasePath’ a mod_dav para configurar la ruta a la root del repositorio WebDav, ‘AliasPreservePath’ a mod_alias para usar el valor de Alias en el bloque Ubicación como ruta completa, ‘RedirectRelative’ a mod_alias, lo que permite la redirección utilizando rutas relativas y ‘H2ProxyRequests on|off’ a mod_http2 para controlar si el procesamiento de solicitudes HTTP/2 está habilitado en la configuración del proxy.
Por la parte de las correcciones de seguridad, se menciona que se abordaron las siguientes:
- CVE-2023-45802: Se crea una condición de agotamiento de la memoria debido a una desasignación de memoria retrasada después de que un paquete con el indicador RST restablece una secuencia HTTP/2. Dado que la memoria no se libera inmediatamente después de que se procesa el indicador RST, sino solo después de que se cierra la conexión, un atacante puede aumentar significativamente el consumo de memoria enviando nuevas solicitudes y vaciándolas con un paquete RST, pero sin cerrar la conexión.
- CVE-2023-43622: El procesamiento de la conexión HTTP/2 se bloquea indefinidamente si se abrió con el tamaño de la ventana deslizante inicial establecido en 0. La vulnerabilidad se puede utilizar para provocar una denegación de servicio al exceder el límite del número máximo permitido de conexiones abiertas.
- CVE-2023-31122: es una vulnerabilidad en mod_macro que permite leer datos desde un área fuera del búfer asignado.
De los demás cambios que se destacan de esta nueva versión:
- Para habilitar WebSocket a través de HTTP/2, se ha propuesto la directiva ‘H2WebSockets on|off’.
- La directiva ‘H2MaxDataFrameLen n‘ se agregó a mod_http2 para limitar el tamaño máximo del cuerpo de respuesta en bytes transmitidos en una trama de DATOS en HTTP/2. El límite predeterminado es 16 KB.
- Archivo mime.types actualizado, en el que la extensión «.js» está vinculada al tipo ‘text/javascript’ en lugar de ‘application/javascript’ y se agregaron extensiones: «.mjs» (con el tipo ‘text/javascript‘) y «.opus» (‘audio/ogg‘). Se agregaron tipos MIME y extensiones utilizadas en WebAssembly.
- La directiva ‘MDChallengeDns01Version‘ se agregó al módulo mod_md para seleccionar la versión del protocolo ACME utilizada para la verificación de DNS.
- mod_md permite el uso de la directiva MDChallengeDns01 para dominios individuales.
- Los especificadores de formato %{z} y %{strftime-format} se han agregado a la directiva ErrorLogFormat.
- Se ha optimizado el rendimiento de la función send_brigade_nonblocking().
Finalmente si estás interesado en poder conocer más al respecto sobre esta nueva versión de Apache HTTP server, puedes consultar los detalles en el siguiente enlace.
Descarga
Puedes obtener la nueva versión dirigiéndote al sitio web oficial de Apache y en su sección de descargas encontrarás el enlace a la nueva versión.