Objavljeno je izdanje Apache HTTP servera 2.4.48 (izdanje 2.4.47 je preskočeno) koje uvodi 39 promjena i eliminira 8 ranjivosti:
- CVE-2021-30641 - preskakanje paljenja u sekciji u 'MergeSlashes OFF' modu;
- CVE-2020-35452 - Prelivanje steka jednog nul bajta u mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - NULL dereferencije pokazivača u mod_http2, mod_session i mod_proxy_http;
- CVE-2020-13938 - Mogućnost zaustavljanja httpd procesa od strane neprivilegovanog korisnika na Windows-u;
- CVE-2019-17567 - Problemi pregovaranja protokola u mod_proxy_wstunnel i mod_proxy_http.
Najznačajnije promjene koje nisu vezane za sigurnost su:
- Dodata je ProxyWebsocketFallbackToProxyHttp postavka na mod_proxy_wstunnel kako bi se onemogućio prijelaz na korištenje mod_proxy_http za WebSocket.
- Osnovni serverski API uključuje funkcije povezane sa SSL-om koje su sada dostupne bez modula mod_ssl (na primjer, omogućavanje modulu mod_md da pruži ključeve i certifikate).
- Obrada OCSP (Online Certificate Status Protocol) odgovora je premještena iz mod_ssl/mod_md u osnovni dio, što omogućava drugim modulima da pristupe OCSP podacima i generišu OCSP odgovore.
- mod_md dozvoljava upotrebu maski u direktivi MDomains, na primjer, "MDomain *.host.net". Direktiva MDPrivateKeys dozvoljava specificiranje različitih tipova ključeva, na primjer “MDPrivateKeys secp384r1 rsa2048” dozvoljava korištenje ECDSA i RSA certifikata. Osigurana je podrška za naslijeđeni ACMEv1 protokol.
- Dodata podrška za Lua 5.4 mod_lua.
- Ažurirana verzija mod_http2 modula. Poboljšano rukovanje greškama. Dodata opcija 'H2OutputBuffering on/off' za kontrolu izlaznog baferovanja (omogućeno po defaultu).
- Direktiva mod_dav_FileETag implementira “Digest” mod za generiranje ETag-a na osnovu hash sadržaja datoteke.
- mod_proxy vam omogućava da ograničite upotrebu ProxyErrorOverride na određene statusne kodove.
- Implementirane su nove direktive ReadBufferSize, FlushMaxThreshold i FlushMaxPipelined.
- mod_rewrite implementira obradu atributa SameSite prilikom raščlanjivanja oznake [CO] (kolačić) u direktivi RewriteRule.
- Dodan check_trans hook na mod_proxy za odbijanje zahtjeva u ranoj fazi.
izvor: opennet.ru