Bylo zveřejněno vydání Apache HTTP serveru 2.4.48 (vydání 2.4.47 bylo přeskočeno), které přináší 39 změn a odstraňuje 8 zranitelností:
- CVE-2021-30641 – nesprávná činnost sekce v režimu ‚MergeSlashes OFF‘;
- CVE-2020-35452 – Přetečení zásobníku jednoho null bajtu v mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - dereference ukazatele NULL v mod_http2, mod_session a mod_proxy_http;
- CVE-2020-13938 - Možnost zastavení procesu httpd neprivilegovaným uživatelem v systému Windows;
- CVE-2019-17567 – Problémy s vyjednáváním protokolu v mod_proxy_wstunnel a mod_proxy_http.
Nejpozoruhodnější změny netýkající se zabezpečení jsou:
- Přidáno nastavení ProxyWebsocketFallbackToProxyHttp do mod_proxy_wstunnel, aby se zakázal přechod na použití mod_proxy_http pro WebSocket.
- Základní API serveru obsahuje funkce související s SSL, které jsou nyní dostupné bez modulu mod_ssl (například umožňují modulu mod_md poskytovat klíče a certifikáty).
- Zpracování odpovědí OCSP (Online Certificate Status Protocol) bylo přesunuto z mod_ssl/mod_md do základní části, která umožňuje dalším modulům přistupovat k datům OCSP a generovat odpovědi OCSP.
- mod_md umožňuje použití masek v direktivě MDomains, například "MDomain *.host.net". Direktiva MDPrivateKeys umožňuje specifikovat různé typy klíčů, například „MDPrivateKeys secp384r1 rsa2048“ umožňuje použití certifikátů ECDSA a RSA. Byla poskytnuta podpora pro starší protokol ACMEv1.
- Přidána podpora pro Lua 5.4 do mod_lua.
- Aktualizovaná verze modulu mod_http2. Vylepšené zpracování chyb. Přidána možnost 'H2OutputBuffering on/off' pro ovládání výstupní vyrovnávací paměti (ve výchozím nastavení povoleno).
- Direktiva mod_dav_FileETag implementuje režim „Digest“ pro generování ETag na základě hash obsahu souboru.
- mod_proxy umožňuje omezit použití ProxyErrorOverride na konkrétní stavové kódy.
- Byly implementovány nové direktivy ReadBufferSize, FlushMaxThreshold a FlushMaxPipelined.
- mod_rewrite implementuje zpracování atributu SameSite při analýze příznaku [CO] (cookie) v direktivě RewriteRule.
- Do mod_proxy byl přidán háček check_trans, který odmítne požadavky v rané fázi.
Zdroj: opennet.ru