Публикувана е версията на Apache HTTP сървър 2.4.48 (версия 2.4.47 беше пропусната), която въвежда 39 промени и елиминира 8 уязвимости:
- CVE-2021-30641 - прекъсване на запалването на секцията в режим 'MergeSlashes OFF';
- CVE-2020-35452 - Препълване на стека с един нулев байт в mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - дереференции на NULL указател в mod_http2, mod_session и mod_proxy_http;
- CVE-2020-13938 - Възможност за спиране на httpd процеса от непривилегирован потребител на Windows;
- CVE-2019-17567 - Проблеми с договарянето на протокол в mod_proxy_wstunnel и mod_proxy_http.
Най-забележителните промени, които не са свързани със сигурността:
- Добавена е настройка ProxyWebsocketFallbackToProxyHttp към mod_proxy_wstunnel за деактивиране на прехода към използване на mod_proxy_http за WebSocket.
- API на основния сървър включва функции, свързани със SSL, които вече са достъпни без модула mod_ssl (например, позволявайки на модула mod_md да предоставя ключове и сертификати).
- Обработката на OCSP (Протокол за онлайн статус на сертификат) отговори е преместена от mod_ssl/mod_md към основната част, което позволява на други модули да имат достъп до OCSP данни и да генерират OCSP отговори.
- mod_md позволява използването на маски в директивата MDomains, например "MDomain *.host.net". Директивата MDPrivateKeys позволява указване на различни типове ключове, например „MDPrivateKeys secp384r1 rsa2048“ позволява използването на ECDSA и RSA сертификати. Осигурена е поддръжка за наследения протокол ACMEv1.
- Добавена е поддръжка за Lua 5.4 към mod_lua.
- Актуализирана версия на модула mod_http2. Подобрена обработка на грешки. Добавена е опция „H2OutputBuffering on/off“ за контрол на изходното буфериране (активирано по подразбиране).
- Директивата mod_dav_FileETag прилага режима „Digest“ за генериране на ETag въз основа на хеш на съдържанието на файла.
- mod_proxy ви позволява да ограничите използването на ProxyErrorOverride до конкретни кодове за състояние.
- Внедрени са нови директиви ReadBufferSize, FlushMaxThreshold и FlushMaxPipelined.
- mod_rewrite прилага обработка на атрибута SameSite при анализиране на флага [CO] (бисквитка) в директивата RewriteRule.
- Добавена кука check_trans към mod_proxy за отхвърляне на заявки на ранен етап.
Източник: opennet.ru