تم نشر إصدار خادم Apache HTTP 2.4.48 (تم تخطي الإصدار 2.4.47)، والذي يقدم 39 تغييرًا ويزيل 8 نقاط ضعف:
- CVE-2021-30641 - خطأ في القسم في وضع "MergeSlashes OFF"؛
- CVE-2020-35452 - تجاوز سعة مكدس البايتات الفارغة المفردة في mod_auth_digest؛
- CVE-2021-31618، CVE-2020-26691، CVE-2020-26690، CVE-2020-13950 - مرجعيات المؤشر NULL في mod_http2، mod_session وmod_proxy_http؛
- CVE-2020-13938 - إمكانية إيقاف عملية httpd بواسطة مستخدم لا يتمتع بالامتياز على نظام Windows؛
- CVE-2019-17567 - مشكلات تفاوض البروتوكول في mod_proxy_wstunnel وmod_proxy_http.
أبرز التغييرات غير الأمنية هي:
- تمت إضافة إعداد ProxyWebsocketFallbackToProxyHttp إلى mod_proxy_wstunnel لتعطيل الانتقال إلى استخدام mod_proxy_http لـ WebSocket.
- تتضمن واجهة برمجة تطبيقات الخادم الأساسية وظائف متعلقة بـ SSL والتي أصبحت متاحة الآن بدون وحدة mod_ssl (على سبيل المثال، السماح للوحدة mod_md بتوفير المفاتيح والشهادات).
- تم نقل معالجة استجابات OCSP (بروتوكول حالة الشهادة عبر الإنترنت) من mod_ssl/mod_md إلى الجزء الأساسي، مما يسمح للوحدات النمطية الأخرى بالوصول إلى بيانات OCSP وإنشاء استجابات OCSP.
- يسمح mod_md باستخدام الأقنعة في توجيه MDomains، على سبيل المثال، "MDomain *.host.net". يسمح توجيه MDPrivateKeys بتحديد أنواع مختلفة من المفاتيح، على سبيل المثال، يسمح "MDPrivateKeys secp384r1 rsa2048" باستخدام شهادات ECDSA وRSA. تم توفير الدعم لبروتوكول ACMEv1 القديم.
- تمت إضافة دعم لـ Lua 5.4 إلى mod_lua.
- نسخة محدثة من الوحدة النمطية mod_http2. تحسين معالجة الأخطاء. تمت إضافة خيار "تشغيل/إيقاف تشغيل H2OutputBuffering" للتحكم في التخزين المؤقت للإخراج (ممكّن افتراضيًا).
- يطبق التوجيه mod_dav_FileETag وضع "Digest" لإنشاء ETag استنادًا إلى تجزئة محتويات الملف.
- يسمح لك mod_proxy بقصر استخدام ProxyErrorOverride على رموز حالة محددة.
- تم تنفيذ التوجيهات الجديدة ReadBufferSize وFlushMaxThreshold وFlushMaxPipelined.
- ينفذ mod_rewrite معالجة سمة SameSite عند تحليل إشارة [CO] (ملف تعريف الارتباط) في توجيه RewriteRule.
- تمت إضافة ربط check_trans إلى mod_proxy لرفض الطلبات في مرحلة مبكرة.
المصدر: opennet.ru