Release des Apache HTTP-Servers 2.4.48

Die Version 2.4.48 des HTTP-Servers Apache wurde veröffentlicht (Version 2.4.47 wurde übersprungen) und umfasst 39 Änderungen sowie die Behebung von 8 Sicherheitsanfälligkeiten:

  • CVE-2021-30641 — falsche Auslösung des <Location>-Abschnitts im ‘MergeSlashes OFF’-Modus;
  • CVE-2020-35452 — Stack Overflow durch ein null Byte in mod_auth_digest;
  • CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 — Dereferenzierung von NULL-Zeigern in mod_http2, mod_session und mod_proxy_http;
  • CVE-2020-13938 — Möglichkeit, den httpd-Prozess durch einen nicht privilegierten Benutzer in Windows zu stoppen;
  • CVE-2019-17567 — Probleme bei der Protokollverhandlung in mod_proxy_wstunnel und mod_proxy_http.

Die bemerkenswertesten Änderungen, die nicht sicherheitsrelevant sind:

  • In mod_proxy_wstunnel wurde die Einstellung ProxyWebsocketFallbackToProxyHttp hinzugefügt, um den Übergang zu mod_proxy_http für WebSocket zu deaktivieren.
  • Im Hauptserver-API wurden verwandte SSL Funktionen integriert, die nun ohne das mod_ssl-Modul verfügbar sind (z. B. ermöglicht es dem mod_md-Modul, Schlüssel und Zertifikate bereitzustellen).
  • Die Behandlung von OCSP-Antworten (Online Certificate Status Protocol) wurde von mod_ssl/mod_md in den Kern verschoben, wodurch anderen Modulen der Zugriff auf OCSP-Daten und die Erstellung von OCSP-Antworten ermöglicht werden.
  • In mod_md sind Masken in der MDomains-Direktive erlaubt, zum Beispiel „MDomain *.host.net“. In der MDPrivateKeys-Direktive dürfen verschiedene Schlüsseltypen angegeben werden, zum Beispiel erlaubt „MDPrivateKeys secp384r1 rsa2048“ die Verwendung von ECDSA- und RSA-Zertifikaten. Unterstützung für das veraltete ACMEv1-Protokoll wurde hinzugefügt.
  • In mod_lua wurde die Unterstützung für Lua 5.4 hinzugefügt.
  • Die Version des mod_http2-Moduls wurde aktualisiert. Die Fehlerbehandlung wurde verbessert. Eine Option „H2OutputBuffering on/off“ wurde hinzugefügt, um die Ausgabe-Buffermodus zu steuern (standardmäßig aktiviert).
  • In mod_dav wurde im FileETag-Direktiv der „Digest“-Modus implementiert, um ETags basierend auf dem Hash des Inhalts der Datei zu generieren.
  • In mod_proxy ist es nun möglich, die Anwendung von ProxyErrorOverride auf einzelne Statuscodes zu beschränken.
  • Neue Direktiven ReadBufferSize, FlushMaxThreshold und FlushMaxPipelined wurden implementiert.
  • In mod_rewrite wurde die Verarbeitung des SameSite-Attributs beim Parsen des [CO]-Flags (Cookie) in der RewriteRule-Direktive implementiert.
  • In mod_proxy wurde der Hook check_trans hinzugefügt, um Anfragen bereits in einem frühen Stadium abzulehnen.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster