S'ha llançat el servidor HTTP Apache 2.4.52, introduint 25 canvis i eliminant 2 vulnerabilitats:
- CVE-2021-44790 és un desbordament de memòria intermèdia a mod_lua que es produeix en analitzar les sol·licituds multipart. La vulnerabilitat afecta les configuracions en què els scripts Lua criden a la funció r:parsebody() per analitzar el cos de la sol·licitud, permetent a un atacant provocar un desbordament de memòria intermèdia enviant una sol·licitud especialment dissenyada. Encara no s'ha identificat cap evidència d'explotació, però el problema podria conduir a l'execució del seu codi al servidor.
- CVE-2021-44224 - Vulnerabilitat SSRF (Server Side Request Forgery) a mod_proxy, que permet, en configuracions amb la configuració "ProxyRequests on", mitjançant una sol·licitud d'un URI especialment dissenyat, aconseguir una redirecció de sol·licitud a un altre gestor del mateix servidor que accepta connexions mitjançant un socket de domini Unix. El problema també es pot utilitzar per provocar un bloqueig creant les condicions per a una desreferència de punter nul. El problema afecta les versions d'Apache httpd a partir de la versió 2.4.7.
Els canvis més destacats que no són de seguretat són:
- S'ha afegit suport per construir amb la biblioteca OpenSSL 3 a mod_ssl.
- S'ha millorat la detecció de la biblioteca OpenSSL en els scripts d'autoconf.
- A mod_proxy, per als protocols de túnel, és possible desactivar la redirecció de connexions TCP mig tancades configurant el paràmetre "SetEnv proxy-nohalfclose".
- S'han afegit comprovacions addicionals que els URI no destinats al servidor intermediari contenen l'esquema http/https, i els destinats al servidor intermediari contenen el nom de l'amfitrió.
- mod_proxy_connect i mod_proxy no permeten que el codi d'estat canviï després que s'hagi enviat al client.
- Quan envieu respostes intermèdies després de rebre sol·licituds amb la capçalera "Espera: 100-Continua", assegureu-vos que el resultat indiqui l'estat de "100 Continuar" en lloc de l'estat actual de la sol·licitud.
- mod_dav afegeix suport per a les extensions CalDAV, que requereixen que es tinguin en compte tant els elements del document com els elements de propietat a l'hora de generar una propietat. S'han afegit noves funcions dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() i dav_find_attr(), que es poden cridar des d'altres mòduls.
- A mpm_event, s'ha resolt el problema d'aturar els processos secundaris inactius després d'un augment de la càrrega del servidor.
- Mod_http2 ha corregit els canvis de regressió que provocaven un comportament incorrecte en gestionar les restriccions MaxRequestsPerChild i MaxConnectionsPerChild.
- S'han ampliat les capacitats del mòdul mod_md, utilitzat per automatitzar la recepció i manteniment de certificats mitjançant el protocol ACME (Automatic Certificate Management Environment):
- S'ha afegit compatibilitat amb el mecanisme ACME External Account Binding (EAB), activat mitjançant la directiva MDExternalAccountBinding. Els valors de l'EAB es poden configurar des d'un fitxer JSON extern, evitant exposar els paràmetres d'autenticació al fitxer de configuració del servidor principal.
- La directiva 'MDCertificateAuthority' garanteix que el paràmetre URL contingui http/https o un dels noms predefinits ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' i 'Buypass-Test').
- Permet especificar la directiva MCDontactEmail dins de la secció .
- S'han corregit diversos errors, inclosa una fuga de memòria que es produeix quan falla la càrrega d'una clau privada.
Font: opennet.ru