Apache HTTP server 2.4.52 buraxıldı, 25 dəyişiklik təqdim etdi və 2 zəifliyi aradan qaldırdı:
- CVE-2021-44790 çoxhissəli sorğuları təhlil edərkən baş verən mod_lua-da bufer daşmasıdır. Zəiflik Lua skriptlərinin sorğunun əsas hissəsini təhlil etmək üçün r:parsebody() funksiyasını çağırdığı konfiqurasiyalara təsir edir və təcavüzkarın xüsusi hazırlanmış sorğu göndərməklə bufer daşmasına səbəb olur. İstismarın heç bir sübutu hələ müəyyən edilməmişdir, lakin problem potensial olaraq serverdə kodun icrasına səbəb ola bilər.
- CVE-2021-44224 - mod_proxy-də SSRF (Server Side Request Forgery) zəifliyi, "ProxyRequests on" parametri ilə konfiqurasiyalarda, xüsusi hazırlanmış URI sorğusu vasitəsilə sorğunun eyni üzərində başqa idarəçiyə yönləndirilməsinə nail olmağa imkan verir. Unix Domain Socket vasitəsilə bağlantıları qəbul edən server. Məsələ, sıfır göstəriciyə istinad üçün şərait yaratmaqla qəzaya səbəb olmaq üçün də istifadə edilə bilər. Problem 2.4.7 versiyasından başlayaraq Apache httpd versiyalarına təsir edir.
Ən diqqətəlayiq qeyri-təhlükəsizlik dəyişiklikləri bunlardır:
- Mod_ssl-ə OpenSSL 3 kitabxanası ilə tikinti dəstəyi əlavə edildi.
- Autoconf skriptlərində təkmilləşdirilmiş OpenSSL kitabxana aşkarlanması.
- mod_proxy-də tunel protokolları üçün “SetEnv proxy-nohalfclose” parametrini təyin etməklə yarım qapalı TCP əlaqələrinin yönləndirilməsini söndürmək mümkündür.
- Proksi üçün nəzərdə tutulmayan URI-lərin http/https sxemini, proksiinq üçün nəzərdə tutulanların isə host adını ehtiva etdiyinə dair əlavə yoxlamalar əlavə edilib.
- mod_proxy_connect və mod_proxy status kodunun müştəriyə göndərildikdən sonra dəyişdirilməsinə icazə vermir.
- "Gözləyin: 100-Davam et" başlığı ilə sorğular alındıqdan sonra aralıq cavabları göndərərkən, nəticənin sorğunun cari statusundan çox "100 Davam et" statusunu göstərdiyinə əmin olun.
- mod_dav CalDAV uzantıları üçün dəstək əlavə edir ki, bu da mülkiyyət yaradan zaman həm sənəd elementlərinin, həm də mülkiyyət elementlərinin nəzərə alınmasını tələb edir. Digər modullardan çağırıla bilən yeni dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() və dav_find_attr() əlavə edildi.
- mpm_event-də server yüklənməsində artımdan sonra boş uşaq proseslərini dayandırmaq problemi həll edildi.
- Mod_http2 MaxRequestsPerChild və MaxConnectionsPerChild məhdudiyyətlərini idarə edərkən səhv davranışa səbəb olan sabit reqressiya dəyişikliklərinə malikdir.
- ACME (Avtomatik Sertifikat İdarəetmə Mühiti) protokolundan istifadə edərək sertifikatların qəbulunu və saxlanmasını avtomatlaşdırmaq üçün istifadə edilən mod_md modulunun imkanları genişləndirilib:
- MDExternalAccountBinding direktivindən istifadə edərək aktivləşdirilmiş ACME Xarici Hesab Bağlama (EAB) mexanizmi üçün əlavə dəstək. EAB üçün dəyərlər əsas server konfiqurasiya faylında autentifikasiya parametrlərini ifşa etmədən xarici JSON faylından konfiqurasiya edilə bilər.
- 'MDCertificateAuthority' direktivi URL parametrinin http/https və ya əvvəlcədən təyin edilmiş adlardan birini ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' və 'Buypass-Test') ehtiva etməsini təmin edir.
- Bölmə daxilində MDContactEmail direktivini təyin etməyə icazə verilir .
- Şəxsi açarın yüklənməməsi zamanı baş verən yaddaş sızması da daxil olmaqla bir neçə səhv düzəldildi.
Mənbə: opennet.ru