ProHoster > Блог > internet vijesti > Apache 2.4.52 http server izdanje sa popravljenim mod_lua buffer overflow

Apache 2.4.52 http server izdanje sa popravljenim mod_lua buffer overflow

Objavljen je Apache HTTP server 2.4.52 koji uvodi 25 promjena i eliminira 2 ranjivosti:

  • CVE-2021-44790 je prekoračenje međuspremnika u mod_lua koji se javlja prilikom raščlanjivanja višedijelnih zahtjeva. Ranjivost utiče na konfiguracije u kojima Lua skripte pozivaju funkciju r:parsebody() da raščlane tijelo zahtjeva, dozvoljavajući napadaču da izazove prelivanje bafera slanjem posebno kreiranog zahtjeva. Još uvijek nema dokaza o eksploataciji, ali problem bi potencijalno mogao dovesti do izvršenja njegovog koda na serveru.
  • CVE-2021-44224 - SSRF (Server Side Request Forgery) ranjivost u mod_proxy, koja omogućava, u konfiguracijama sa postavkom "ProxyRequests on", putem zahtjeva za posebno dizajniranim URI-jem, da se postigne preusmjeravanje zahtjeva na drugi rukovalac na istom server koji prihvata veze preko Unix domenske utičnice. Problem se također može koristiti da izazove pad kreiranjem uslova za nultu dereferenciju pokazivača. Problem utiče na verzije Apache httpd-a počevši od verzije 2.4.7.

Najznačajnije promjene koje nisu vezane za sigurnost su:

  • Dodata podrška za izgradnju sa OpenSSL 3 bibliotekom u mod_ssl.
  • Poboljšano otkrivanje OpenSSL biblioteke u autoconf skriptama.
  • U mod_proxy, za protokole za tuneliranje, moguće je onemogućiti preusmjeravanje poluzatvorenih TCP veza postavljanjem parametra “SetEnv proxy-nohalfclose”.
  • Dodate su dodatne provjere da URI koji nisu namijenjeni za proxy sadrže http/https šemu, a oni namijenjeni za proxy sadrže ime hosta.
  • mod_proxy_connect i mod_proxy ne dozvoljavaju promjenu statusnog koda nakon što je poslan klijentu.
  • Kada šaljete međuodgovore nakon primanja zahtjeva sa zaglavljem "Očekujte: 100-Nastavi", uvjerite se da rezultat pokazuje status "100 Nastavi", a ne trenutni status zahtjeva.
  • mod_dav dodaje podršku za CalDAV ekstenzije, koje zahtijevaju da se pri generiranju svojstva uzmu u obzir i elementi dokumenta i elementi svojstva. Dodane su nove funkcije dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() i dav_find_attr(), koje se mogu pozvati iz drugih modula.
  • U mpm_event, riješen je problem sa zaustavljanjem neaktivnih podređenih procesa nakon povećanja opterećenja servera.
  • Mod_http2 ima popravljene promjene regresije koje su uzrokovale nepravilno ponašanje pri rukovanju ograničenjima MaxRequestsPerChild i MaxConnectionsPerChild.
  • Proširene su mogućnosti modula mod_md, koji se koristi za automatizaciju prijema i održavanja certifikata koristeći ACME (Automatic Certificate Management Environment) protokol:
    • Dodata podrška za mehanizam ACME vanjskog povezivanja računa (EAB), omogućen korištenjem direktive MDExternalAccountBinding. Vrijednosti za EAB mogu se konfigurirati iz vanjske JSON datoteke, izbjegavajući izlaganje parametara autentikacije u glavnoj konfiguracijskoj datoteci servera.
    • Direktiva 'MDCertificateAuthority' osigurava da URL parametar sadrži http/https ili jedno od unaprijed definiranih imena ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' i 'Buypass-Test').
    • Dozvoljeno je specificirati MDContactEmail direktivu unutar odjeljka.
    • Ispravljeno je nekoliko grešaka, uključujući curenje memorije koje se javlja kada učitavanje privatnog ključa ne uspije.

izvor: opennet.ru

Dodajte komentar