Der Apache HTTP-Server 2.4.52 wurde veröffentlicht, der 25 Änderungen einführt und zwei Schwachstellen beseitigt:
- CVE-2021-44790 ist ein Pufferüberlauf in mod_lua, der beim Parsen mehrteiliger Anforderungen auftritt. Die Sicherheitslücke betrifft Konfigurationen, in denen Lua-Skripte die Funktion r:parsebody() aufrufen, um den Anforderungstext zu analysieren, sodass ein Angreifer durch das Senden einer speziell gestalteten Anforderung einen Pufferüberlauf verursachen kann. Es wurden noch keine Hinweise auf einen Exploit gefunden, aber das Problem könnte möglicherweise zur Ausführung seines Codes auf dem Server führen.
- CVE-2021-44224 – SSRF-Schwachstelle (Server Side Request Forgery) in mod_proxy, die es in Konfigurationen mit der Einstellung „ProxyRequests on“ ermöglicht, durch eine Anfrage nach einem speziell entwickelten URI eine Anfrageumleitung an einen anderen Handler auf demselben zu erreichen Server, der Verbindungen über einen Unix-Domain-Socket akzeptiert. Das Problem kann auch dazu genutzt werden, einen Absturz zu verursachen, indem die Bedingungen für eine Nullzeiger-Dereferenzierung geschaffen werden. Das Problem betrifft Versionen von Apache httpd ab Version 2.4.7.
Die bemerkenswertesten nicht sicherheitsrelevanten Änderungen sind:
- Unterstützung für die Erstellung mit der OpenSSL 3-Bibliothek zu mod_ssl hinzugefügt.
- Verbesserte Erkennung der OpenSSL-Bibliothek in Autoconf-Skripten.
- In mod_proxy ist es für Tunnelprotokolle möglich, die Umleitung halbgeschlossener TCP-Verbindungen zu deaktivieren, indem der Parameter „SetEnv Proxy-nohalfclose“ gesetzt wird.
- Zusätzliche Überprüfungen hinzugefügt, dass URIs, die nicht für Proxying vorgesehen sind, das http/https-Schema enthalten und URIs, die für Proxying vorgesehen sind, den Hostnamen enthalten.
- mod_proxy_connect und mod_proxy erlauben keine Änderung des Statuscodes, nachdem er an den Client gesendet wurde.
- Stellen Sie beim Senden von Zwischenantworten nach dem Empfang von Anfragen mit dem Header „Expect: 100-Continue“ sicher, dass das Ergebnis den Status „100 Continue“ und nicht den aktuellen Status der Anfrage anzeigt.
- mod_dav fügt Unterstützung für CalDAV-Erweiterungen hinzu, die erfordern, dass beim Generieren einer Eigenschaft sowohl Dokumentelemente als auch Eigenschaftselemente berücksichtigt werden. Neue Funktionen dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() und dav_find_attr() hinzugefügt, die von anderen Modulen aufgerufen werden können.
- In mpm_event wurde das Problem beim Stoppen inaktiver untergeordneter Prozesse nach einem Anstieg der Serverlast behoben.
- Mod_http2 hat Regressionsänderungen behoben, die bei der Verarbeitung von MaxRequestsPerChild- und MaxConnectionsPerChild-Einschränkungen zu falschem Verhalten führten.
- Die Funktionen des Moduls mod_md, das zur Automatisierung des Empfangs und der Wartung von Zertifikaten mithilfe des ACME-Protokolls (Automatic Certificate Management Environment) verwendet wird, wurden erweitert:
- Unterstützung für den ACME External Account Binding (EAB)-Mechanismus hinzugefügt, der mithilfe der MDExternalAccountBinding-Direktive aktiviert wird. Werte für das EAB können aus einer externen JSON-Datei konfiguriert werden, wodurch die Offenlegung von Authentifizierungsparametern in der Hauptserverkonfigurationsdatei vermieden wird.
- Die „MDCertificateAuthority“-Direktive stellt sicher, dass der URL-Parameter http/https oder einen der vordefinierten Namen („LetsEncrypt“, „LetsEncrypt-Test“, „Buypass“ und „Buypass-Test“) enthält.
- Darf die MDContactEmail-Direktive innerhalb des Abschnitts angeben .
- Mehrere Fehler wurden behoben, darunter ein Speicherverlust, der auftritt, wenn das Laden eines privaten Schlüssels fehlschlägt.
Source: opennet.ru