Se ha publicado la versión 2.4.48 del servidor Apache HTTP (se omitió la versión 2.4.47), que introduce 39 cambios y elimina 8 vulnerabilidades:
- CVE-2021-30641: falla de encendido de sección en modo 'MergeSlashes OFF';
- CVE-2020-35452: Desbordamiento de pila de un solo byte nulo en mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950: desreferencias de puntero NULL en mod_http2, mod_session y mod_proxy_http;
- CVE-2020-13938: Posibilidad de detener el proceso httpd por parte de un usuario sin privilegios en Windows;
- CVE-2019-17567: Problemas de negociación de protocolos en mod_proxy_wstunnel y mod_proxy_http.
Los cambios no relacionados con la seguridad más notables son:
- Se agregó la configuración ProxyWebsocketFallbackToProxyHttp a mod_proxy_wstunnel para deshabilitar la transición al uso de mod_proxy_http para WebSocket.
- La API del servidor central incluye funciones relacionadas con SSL que ahora están disponibles sin el módulo mod_ssl (por ejemplo, permitiendo que el módulo mod_md proporcione claves y certificados).
- El procesamiento de respuestas OCSP (Protocolo de estado de certificado en línea) se ha movido de mod_ssl/mod_md a la parte base, lo que permite que otros módulos accedan a datos OCSP y generen respuestas OCSP.
- mod_md permite el uso de máscaras en la directiva MDomains, por ejemplo, "MDomain *.host.net". La directiva MDPrivateKeys permite especificar diferentes tipos de claves, por ejemplo “MDPrivateKeys secp384r1 rsa2048” permite el uso de certificados ECDSA y RSA. Se ha proporcionado soporte para el protocolo ACMEv1 heredado.
- Se agregó soporte para Lua 5.4 a mod_lua.
- Versión actualizada del módulo mod_http2. Manejo de errores mejorado. Se agregó la opción 'H2OutputBuffering on/off' para controlar el almacenamiento en búfer de salida (habilitada de forma predeterminada).
- La directiva mod_dav_FileETag implementa el modo "Resumen" para generar una ETag basada en un hash del contenido del archivo.
- mod_proxy le permite limitar el uso de ProxyErrorOverride a códigos de estado específicos.
- Se han implementado nuevas directivas ReadBufferSize, FlushMaxThreshold y FlushMaxPipelined.
- mod_rewrite implementa el procesamiento del atributo SameSite al analizar el indicador [CO] (cookie) en la directiva RewriteRule.
- Se agregó el gancho check_trans a mod_proxy para rechazar solicitudes en una etapa temprana.
Fuente: opennet.ru