Die Version 2.4.52 des HTTP-Servers Apache wurde veröffentlicht, die 25 Änderungen enthält und 2 Sicherheitsanfälligkeiten behebt:
- CVE-2021-44790 – Pufferüberlauf in mod_lua, der beim Parsen von Anfragen mit mehreren Teilen (multipart) auftritt. Die Schwachstelle betrifft Konfigurationen, in denen Lua-Skripte die Funktion r:parsebody() zum Parsen des Anfragekörpers aufrufen, und ermöglicht einem Angreifer, einen Pufferüberlauf durch das Senden einer speziell gestalteten Anfrage zu erreichen. Bisher wurden keine Exploits festgestellt, jedoch könnte dieses Problem potenziell zur Ausführung von eigenem Code auf Server.
- CVE-2021-44224 – SSRF-Schwachstelle (Server Side Request Forgery) in mod_proxy, die in Konfigurationen mit der Einstellung „ProxyRequests on“ durch eine Anfrage an URI führen kann, die auf einen anderen Handler auf demselben Server weiterleitet, der Verbindungen über Unix Domain Socket akzeptiert. Das Problem kann ebenfalls zur Erzeugung eines Nullzeiger-Dereferenzierungsfehlers führen. Die betroffene Apache httpd-Version beginnt mit 2.4.7.
Die bemerkenswertesten Änderungen, die nicht sicherheitsrelevant sind:
- In mod_ssl wurde die Unterstützung für den Aufbau mit der OpenSSL 3-Bibliothek hinzugefügt.
- Die Erkennung der OpenSSL-Bibliothek in Autoconf-Skripten wurde verbessert.
- In mod_proxy für Tunnelprotokolle gibt es die Möglichkeit, die Weiterleitung von halbgeschlossenen TCP-Verbindungen durch Setzen des Parameters „SetEnv proxy-nohalfclose“ zu deaktivieren.
- Zusätzliche Überprüfungen wurden hinzugefügt, um sicherzustellen, dass URIs, die nicht für das Proxying bestimmt sind, ein http/https-Schema enthalten, während die für das Proxying bestimmten eine Hostnamen enthalten müssen.
- In mod_proxy_connect und mod_proxy ist die Änderung des Statuscodes nach dessen Sendung an den Client verboten.
- Bei der Sendung von Zwischenantworten nach Erhalt von Anfragen mit dem Header „Expect: 100-Continue“ wird sichergestellt, dass im Resultat der Status „100 Continue“ anstelle des aktuellen Anfrage-Status angegeben wird.
- In mod_dav wurde die Unterstützung für CalDAV-Erweiterungen hinzugefügt, bei denen bei der Generierung des Attributs sowohl Dokumentenelemente als auch Attributelemente berücksichtigt werden müssen. Neue Funktionen wie dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() und dav_find_attr() wurden hinzugefügt, die von anderen Modulen aufgerufen werden können.
- Im mpm_event wurde ein Problem gelöst, bei dem im Leerlauf befindliche Kindprozesse nach einem Anstieg der Serverlast gestoppt wurden.
- In mod_http2 wurden regressiven Änderungen behoben, die zu fehlerhaftem Verhalten bei der Verarbeitung der Einschränkungen MaxRequestsPerChild und MaxConnectionsPerChild führten.
- Die Funktionalität des Moduls mod_md, das zur Automatisierung der Beschaffung und Verwaltung von Zertifikaten unter Verwendung des ACME-Protokolls (Automatic Certificate Management Environment) dient, wurde erweitert:
- Die Unterstützung für den ACME External Account Binding (EAB) Mechanismus wurde hinzugefügt, der mittels der Direktive MDExternalAccountBinding aktiviert wird. Die Werte für EAB können aus einer externen Datei im JSON-Format konfiguriert werden, was es ermöglicht, Authentifizierungsparameter im Hauptdokument nicht offenzulegen. Serverkonfiguration..
- Die Direktive 'MDCertificateAuthority' gewährleistet die Überprüfung der Angabe eines URL-Parameters http/https oder eines der vordefinierten Namen ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' und 'Buypass-Test').
- Die Angabe der Direktive MDContactEmail innerhalb des Abschnitts ist nun erlaubt.
- Mehrere Fehler wurden behoben, einschließlich einer Behebung von Speicherlecks, die bei einem Fehler beim Laden des privaten Schlüssels auftraten.
Quelle: opennet.ru
