የApache HTTP አገልጋይ 2.4.48 ተለቀቀ (የተለቀቀው 2.4.47 ተዘሏል) 39 ለውጦችን የሚያስተዋውቅ እና 8 ተጋላጭነቶችን ያስወግዳል፡
- CVE-2021-30641 - ክፍል misfire በ 'MrgeSlashes OFF' ሁነታ;
- CVE-2020-35452 - ነጠላ የኑል ባይት ቁልል በሞድ_አውዝ_ዳይጀስት ውስጥ ሞልቶ ሞልቷል፤
- CVE-2021-31618፣ CVE-2020-26691፣ CVE-2020-26690፣ CVE-2020-13950 - NULL የጠቋሚ ማጣቀሻዎች በ mod_http2፣ mod_session እና mod_proxy_http;
- CVE-2020-13938 - የ httpd ሂደትን በዊንዶው ላይ ያልተፈቀደ ተጠቃሚ የማቆም እድል;
- CVE-2019-17567 - በ mod_proxy_wstunnel እና mod_proxy_http ውስጥ ያሉ የፕሮቶኮል ድርድር ጉዳዮች።
በጣም ታዋቂዎቹ የደህንነት ያልሆኑ ለውጦች የሚከተሉት ናቸው
- ለዌብሶኬት mod_proxy_httpን ለመጠቀም የሚደረገውን ሽግግር ለማሰናከል የProxyWebsocketFallbackToProxyHttp ቅንብር ወደ mod_proxy_wstunnel ታክሏል።
- የኮር አገልጋይ ኤፒአይ ከኤስኤስኤል ጋር የተገናኙ ተግባራትን ያካትታል አሁን ያለ mod_ssl ሞጁል የሚገኙ (ለምሳሌ የ mod_md ሞጁል ቁልፎችን እና የምስክር ወረቀቶችን እንዲያቀርብ መፍቀድ)።
- የ OCSP (የመስመር ላይ የምስክር ወረቀት ሁኔታ ፕሮቶኮል) ምላሾችን ማካሄድ ከ mod_ssl/mod_md ወደ መሰረታዊ ክፍል ተወስዷል፣ ይህም ሌሎች ሞጁሎች የOCSP ውሂብን እንዲደርሱ እና የOCSP ምላሾችን እንዲያመነጩ ያስችላቸዋል።
- mod_md በ MDomains መመሪያ ውስጥ ጭምብልን መጠቀም ይፈቅዳል፣ ለምሳሌ "MDomain *.host.net"። የMDPrivateKeys መመሪያ የተለያዩ አይነት ቁልፎችን ለመጥቀስ ይፈቅዳል፡ ለምሳሌ "MDPrivateKeys secp384r1 rsa2048" የ ECDSA እና RSA ሰርተፊኬቶችን መጠቀም ይፈቅዳል። ለቆየው ACMEv1 ፕሮቶኮል ድጋፍ ተሰጥቷል።
- ለ Lua 5.4 ወደ mod_lua ድጋፍ ታክሏል።
- የሞድ_http2 ሞጁል የዘመነ ስሪት። የተሻሻለ የስህተት አያያዝ። የውጤት ማቋትን ለመቆጣጠር 'H2OutputBuffering on/off' አማራጭ ታክሏል (በነባሪ የነቃ)።
- የMod_dav_FileETag መመሪያ በፋይል ይዘቶች ሃሽ ላይ በመመስረት ETag ለማመንጨት የ"Digest" ሁነታን ተግባራዊ ያደርጋል።
- mod_proxy የProxyErrorOverride አጠቃቀምን በተወሰኑ የሁኔታ ኮዶች እንዲገድቡ ይፈቅድልዎታል።
- አዲስ መመሪያዎች ReadBufferSize፣ FlushMaxThreshold እና FlushMaxPipelined ተተግብረዋል።
- mod_rewrite የ[CO] (ኩኪ) ባንዲራ በRewriteRule መመሪያ ውስጥ ሲተነተን የሳምሳይት አይነታ ሂደትን ተግባራዊ ያደርጋል።
- በመጀመሪያ ደረጃ ላይ ጥያቄዎችን ላለመቀበል check_trans hook ወደ mod_proxy ታክሏል።
ምንጭ: opennet.ru