ProHoster > Blog > internet nuus > Apache 2.4.52 http-bedienervrystelling met mod_lua buffer-oorloopoplossing

Apache 2.4.52 http-bedienervrystelling met mod_lua buffer-oorloopoplossing

Die Apache HTTP-bediener 2.4.52 is vrygestel, wat 25 veranderinge bekendstel en 2 kwesbaarhede uitskakel:

  • CVE-2021-44790 is 'n bufferoorloop in mod_lua wat plaasvind wanneer meerdeelversoeke ontleed word. Die kwesbaarheid beïnvloed konfigurasies waarin Lua-skripte die r:parsebody()-funksie noem om die versoekliggaam te ontleed, wat 'n aanvaller toelaat om 'n bufferoorloop te veroorsaak deur 'n spesiaal vervaardigde versoek te stuur. Geen bewyse van 'n uitbuiting is nog geïdentifiseer nie, maar die probleem kan moontlik lei tot die uitvoering van sy kode op die bediener.
  • CVE-2021-44224 - SSRF (Server Side Request Forgery) kwesbaarheid in mod_proxy, wat dit moontlik maak, in konfigurasies met die "ProxyRequests on" instelling, deur 'n versoek vir 'n spesiaal ontwerpte URI, om 'n versoekherleiding na 'n ander hanteerder op dieselfde te bewerkstellig bediener wat verbindings via 'n Unix Domain Socket aanvaar. Die kwessie kan ook gebruik word om 'n ineenstorting te veroorsaak deur die voorwaardes vir 'n nulwyserverwysing te skep. Die probleem raak weergawes van Apache httpd vanaf weergawe 2.4.7.

Die mees noemenswaardige nie-sekuriteitsveranderinge:

  • Bygevoeg ondersteuning vir die bou met die OpenSSL 3-biblioteek by mod_ssl.
  • Verbeterde OpenSSL-biblioteekopsporing in outoconf-skrifte.
  • In mod_proxy, vir tonnelprotokolle, is dit moontlik om herleiding van half-close TCP-verbindings te deaktiveer deur die "SetEnv proxy-nohalfclose" parameter in te stel.
  • Bykomende kontrole bygevoeg dat URI's wat nie bedoel is vir volmag die http/https-skema bevat nie, en dié wat bedoel is vir volmag die gasheernaam bevat.
  • mod_proxy_connect en mod_proxy laat nie toe dat die statuskode verander nadat dit aan die kliënt gestuur is nie.
  • Wanneer tussentydse antwoorde gestuur word na ontvangs van versoeke met die "Verwag: 100-Gaan voort"-opskrif, maak seker dat die resultaat die status van "100 Gaan voort" aandui eerder as die huidige status van die versoek.
  • mod_dav voeg ondersteuning by vir CalDAV-uitbreidings, wat vereis dat beide dokumentelemente en eiendomselemente in ag geneem word wanneer 'n eiendom gegenereer word. Bygevoeg nuwe funksies dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() en dav_find_attr(), wat uit ander modules geroep kan word.
  • In mpm_event is die probleem met die stop van ledige kinderprosesse na 'n toename in bedienerlading opgelos.
  • Mod_http2 het vaste regressieveranderinge wat verkeerde gedrag veroorsaak het tydens die hantering van MaxRequestsPerChild- en MaxConnectionsPerChild-beperkings.
  • Die vermoëns van die mod_md-module, wat gebruik word om die ontvangs en instandhouding van sertifikate te outomatiseer deur die ACME (Automatic Certificate Management Environment) protokol te gebruik, is uitgebrei:
    • Bygevoeg ondersteuning vir die ACME External Account Binding (EAB) meganisme, geaktiveer met behulp van die MDExternalAccountBinding richtlijn. Waardes vir die EAB kan gekonfigureer word vanaf 'n eksterne JSON-lêer, en vermy die blootstelling van verifikasieparameters in die hoofbedienerkonfigurasielêer.
    • Die 'MDCertificateAuthority'-aanwysing verseker dat die URL-parameter http/https of een van die voorafbepaalde name bevat ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' en 'Buypass-Test').
    • Toegelaat om die MDContactEmail-aanwysing binne die afdeling te spesifiseer .
    • Verskeie foute is reggestel, insluitend 'n geheuelek wat plaasvind wanneer die laai van 'n private sleutel misluk.

Bron: opennet.ru

Voeg 'n opmerking