La Apache HTTP-servilo 2.4.52 estis liberigita, enkondukante 25 ŝanĝojn kaj forigante 2 vundeblecojn:
- CVE-2021-44790 estas bufra superfluo en mod_lua, kiu okazas dum analizado de plurpartaj petoj. La vundebleco influas agordojn en kiuj Lua-skriptoj vokas la funkcion r:parsebody() por analizi la petan korpon, permesante al atakanto kaŭzi bufran superfluon sendante speciale kreitan peton. Neniu indico de ekspluato ankoraŭ estis identigita, sed la problemo eble povus konduki al la ekzekuto de ĝia kodo sur la servilo.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) vundebleco en mod_proxy, kiu permesas, en agordoj kun la agordo "ProxyRequests on", per peto por speciale desegnita URI, atingi peton alidirektilon al alia prizorganto sur la sama. servilo kiu akceptas konektojn per Unix Domain Socket. La afero ankaŭ povas esti uzata por kaŭzi kraŝon kreante la kondiĉojn por nula montrilo. La problemo influas versiojn de Apache httpd ekde versio 2.4.7.
La plej rimarkindaj ne-sekurecaj ŝanĝoj:
- Aldonita subteno por konstruado kun la OpenSSL 3 biblioteko al mod_ssl.
- Plibonigita OpenSSL-biblioteka detekto en aŭtokonformaj skriptoj.
- En mod_proxy, por tunelaj protokoloj, eblas malŝalti alidirekton de duonfermitaj TCP-konektoj per agordo de la parametro "SetEnv proxy-nohalfclose".
- Aldonitaj pliaj kontroloj, ke URI-oj ne intencitaj por prokurado enhavas la http/https-skemon, kaj tiuj intencitaj por prokurado enhavas la gastigan nomon.
- mod_proxy_connect kaj mod_proxy ne permesas al la statuskodo ŝanĝiĝi post kiam ĝi estas sendita al la kliento.
- Kiam vi sendas mezajn respondojn post ricevo de petoj kun la kaplinio "Atendu: 100-Daŭrigu", certigu, ke la rezulto indikas la staton de "100 Daŭrigu" prefere ol la aktuala stato de la peto.
- mod_dav aldonas subtenon por CalDAV-etendaĵoj, kiuj postulas kaj dokumentelementojn kaj proprietajn elementojn esti konsiderataj dum generado de posedaĵo. Aldonitaj novaj funkcioj dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() kaj dav_find_attr(), kiujn oni povas voki de aliaj moduloj.
- En mpm_event, la problemo ĉesigi neaktivajn infanajn procezojn post pliiĝo de servila ŝarĝo estis solvita.
- Mod_http2 fiksis regresajn ŝanĝojn, kiuj kaŭzis malĝustan konduton dum pritraktado de limigoj de MaxRequestsPerChild kaj MaxConnectionsPerChild.
- La kapabloj de la mod_md-modulo, uzata por aŭtomatigi la ricevon kaj prizorgadon de atestiloj uzante la protokolon ACME (Automatic Certificate Management Environment), estis pligrandigitaj:
- Aldonita subteno por la mekanismo de ACME External Account Binding (EAB), ebligita per la MDExternalAccountBinding-direktivo. Valoroj por la EAB povas esti agorditaj de ekstera JSON-dosiero, evitante elmontri aŭtentigajn parametrojn en la ĉefa servila agorda dosiero.
- La direktivo 'MDCertificateAuthority' certigas, ke la URL-parametro enhavas http/https aŭ unu el la antaŭdifinitaj nomoj ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' kaj 'Buypass-Test').
- Permesita specifi la direktivon MDContactEmail ene de la sekcio .
- Pluraj eraroj estis korektitaj, inkluzive de memorfuĝo kiu okazas kiam ŝarĝado de privata ŝlosilo malsukcesas.
fonto: opennet.ru