Die Version 2.4.48 des Apache HTTP-Servers wurde veröffentlicht (Version 2.4.47 wurde übersprungen), die 39 Änderungen einführt und 8 Schwachstellen beseitigt:
- CVE-2021-30641 – Abschnittsaussetzer im Modus „MergeSlashes OFF“;
- CVE-2020-35452 – Einzelner Null-Byte-Stack-Überlauf in mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 – NULL-Zeiger-Dereferenzierungen in mod_http2, mod_session und mod_proxy_http;
- CVE-2020-13938 – Möglichkeit, den httpd-Prozess durch einen nicht privilegierten Benutzer unter Windows zu stoppen;
- CVE-2019-17567 – Probleme bei der Protokollverhandlung in mod_proxy_wstunnel und mod_proxy_http.
Die bemerkenswertesten nicht sicherheitsrelevanten Änderungen sind:
- ProxyWebsocketFallbackToProxyHttp-Einstellung zu mod_proxy_wstunnel hinzugefügt, um den Übergang zur Verwendung von mod_proxy_http für WebSocket zu deaktivieren.
- Die Kernserver-API umfasst SSL-bezogene Funktionen, die jetzt ohne das Modul mod_ssl verfügbar sind (z. B. die Bereitstellung von Schlüsseln und Zertifikaten durch das Modul mod_md).
- Die Verarbeitung von OCSP-Antworten (Online Certificate Status Protocol) wurde von mod_ssl/mod_md in den Basisteil verschoben, wodurch andere Module auf OCSP-Daten zugreifen und OCSP-Antworten generieren können.
- mod_md ermöglicht die Verwendung von Masken in der MDomains-Direktive, zum Beispiel „MDomain *.host.net“. Die MDPrivateKeys-Direktive ermöglicht die Angabe verschiedener Schlüsseltypen, beispielsweise ermöglicht „MDPrivateKeys secp384r1 rsa2048“ die Verwendung von ECDSA- und RSA-Zertifikaten. Unterstützung für das ältere ACMEv1-Protokoll wurde bereitgestellt.
- Unterstützung für Lua 5.4 zu mod_lua hinzugefügt.
- Aktualisierte Version des mod_http2-Moduls. Verbesserte Fehlerbehandlung. Option „H2OutputBuffering ein/aus“ hinzugefügt, um die Ausgabepufferung zu steuern (standardmäßig aktiviert).
- Die mod_dav_FileETag-Direktive implementiert den „Digest“-Modus, um ein ETag basierend auf einem Hash des Dateiinhalts zu generieren.
- Mit mod_proxy können Sie die Verwendung von ProxyErrorOverride auf bestimmte Statuscodes beschränken.
- Neue Direktiven ReadBufferSize, FlushMaxThreshold und FlushMaxPipelined wurden implementiert.
- mod_rewrite implementiert die Verarbeitung des SameSite-Attributs beim Parsen des [CO]-Flags (Cookie) in der RewriteRule-Direktive.
- check_trans-Hook zu mod_proxy hinzugefügt, um Anfragen frühzeitig abzulehnen.
Source: opennet.ru