Die Version 2.4.48 des HTTP-Servers Apache wurde veröffentlicht (Version 2.4.47 wurde übersprungen) und umfasst 39 Änderungen sowie die Behebung von 8 Sicherheitsanfälligkeiten:
- CVE-2021-30641 — falsche Auslösung des <Location>-Abschnitts im ‘MergeSlashes OFF’-Modus;
- CVE-2020-35452 — Stack Overflow durch ein null Byte in mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 — Dereferenzierung von NULL-Zeigern in mod_http2, mod_session und mod_proxy_http;
- CVE-2020-13938 — Möglichkeit, den httpd-Prozess durch einen nicht privilegierten Benutzer in Windows zu stoppen;
- CVE-2019-17567 — Probleme bei der Protokollverhandlung in mod_proxy_wstunnel und mod_proxy_http.
Die bemerkenswertesten Änderungen, die nicht sicherheitsrelevant sind:
- In mod_proxy_wstunnel wurde die Einstellung ProxyWebsocketFallbackToProxyHttp hinzugefügt, um den Übergang zu mod_proxy_http für WebSocket zu deaktivieren.
- Im Hauptserver-API wurden verwandte SSL Funktionen integriert, die nun ohne das mod_ssl-Modul verfügbar sind (z. B. ermöglicht es dem mod_md-Modul, Schlüssel und Zertifikate bereitzustellen).
- Die Behandlung von OCSP-Antworten (Online Certificate Status Protocol) wurde von mod_ssl/mod_md in den Kern verschoben, wodurch anderen Modulen der Zugriff auf OCSP-Daten und die Erstellung von OCSP-Antworten ermöglicht werden.
- In mod_md sind Masken in der MDomains-Direktive erlaubt, zum Beispiel „MDomain *.host.net“. In der MDPrivateKeys-Direktive dürfen verschiedene Schlüsseltypen angegeben werden, zum Beispiel erlaubt „MDPrivateKeys secp384r1 rsa2048“ die Verwendung von ECDSA- und RSA-Zertifikaten. Unterstützung für das veraltete ACMEv1-Protokoll wurde hinzugefügt.
- In mod_lua wurde die Unterstützung für Lua 5.4 hinzugefügt.
- Die Version des mod_http2-Moduls wurde aktualisiert. Die Fehlerbehandlung wurde verbessert. Eine Option „H2OutputBuffering on/off“ wurde hinzugefügt, um die Ausgabe-Buffermodus zu steuern (standardmäßig aktiviert).
- In mod_dav wurde im FileETag-Direktiv der „Digest“-Modus implementiert, um ETags basierend auf dem Hash des Inhalts der Datei zu generieren.
- In mod_proxy ist es nun möglich, die Anwendung von ProxyErrorOverride auf einzelne Statuscodes zu beschränken.
- Neue Direktiven ReadBufferSize, FlushMaxThreshold und FlushMaxPipelined wurden implementiert.
- In mod_rewrite wurde die Verarbeitung des SameSite-Attributs beim Parsen des [CO]-Flags (Cookie) in der RewriteRule-Direktive implementiert.
- In mod_proxy wurde der Hook check_trans hinzugefügt, um Anfragen bereits in einem frühen Stadium abzulehnen.
Quelle: opennet.ru
