Se ha lanzado el servidor Apache HTTP 2.4.52, introduciendo 25 cambios y eliminando 2 vulnerabilidades:
- CVE-2021-44790 es un desbordamiento del búfer en mod_lua que se produce al analizar solicitudes de varias partes. La vulnerabilidad afecta a las configuraciones en las que los scripts Lua llaman a la función r:parsebody() para analizar el cuerpo de la solicitud, lo que permite a un atacante provocar un desbordamiento del búfer al enviar una solicitud especialmente diseñada. Aún no se ha identificado evidencia de un exploit, pero el problema podría conducir a la ejecución de su código en el servidor.
- CVE-2021-44224 - Vulnerabilidad SSRF (Server Side Request Forgery) en mod_proxy, que permite, en configuraciones con la configuración “ProxyRequests on”, a través de una solicitud de un URI especialmente diseñado, lograr una redirección de solicitud a otro controlador en el mismo Servidor que acepta conexiones a través de un socket de dominio Unix. El problema también se puede utilizar para provocar un bloqueo al crear las condiciones para una desreferencia del puntero nulo. El problema afecta a las versiones de Apache httpd a partir de la versión 2.4.7.
Los cambios no relacionados con la seguridad más notables son:
- Se agregó soporte para compilar con la biblioteca OpenSSL 3 a mod_ssl.
- Detección de biblioteca OpenSSL mejorada en scripts de autoconf.
- En mod_proxy, para protocolos de túnel, es posible deshabilitar la redirección de conexiones TCP medio cerradas configurando el parámetro "SetEnv proxy-nohalfclose".
- Se agregaron comprobaciones adicionales de que los URI no destinados al proxy contengan el esquema http/https y que los destinados al proxy contengan el nombre del host.
- mod_proxy_connect y mod_proxy no permiten que el código de estado cambie después de haber sido enviado al cliente.
- Al enviar respuestas intermedias después de recibir solicitudes con el encabezado "Esperar: 100-Continuar", asegúrese de que el resultado indique el estado de "100 Continuar" en lugar del estado actual de la solicitud.
- mod_dav agrega soporte para extensiones CalDAV, que requieren que se tengan en cuenta tanto los elementos del documento como los elementos de propiedad al generar una propiedad. Se agregaron nuevas funciones dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() y dav_find_attr(), que se pueden llamar desde otros módulos.
- En mpm_event, se resolvió el problema de detener procesos secundarios inactivos después de un aumento en la carga del servidor.
- Mod_http2 ha solucionado los cambios de regresión que causaban un comportamiento incorrecto al manejar las restricciones MaxRequestsPerChild y MaxConnectionsPerChild.
- Se han ampliado las capacidades del módulo mod_md, utilizado para automatizar la recepción y el mantenimiento de certificados utilizando el protocolo ACME (Entorno de gestión automática de certificados):
- Se agregó soporte para el mecanismo de enlace de cuenta externa (EAB) de ACME, habilitado mediante la directiva MDExternalAccountBinding. Los valores para el EAB se pueden configurar desde un archivo JSON externo, evitando exponer los parámetros de autenticación en el archivo de configuración del servidor principal.
- La directiva 'MDCertificateAuthority' garantiza que el parámetro URL contenga http/https o uno de los nombres predefinidos ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' y 'Buypass-Test').
- Se permite especificar la directiva MDContactEmail dentro de la sección .
- Se han solucionado varios errores, incluida una pérdida de memoria que se produce cuando falla la carga de una clave privada.
Fuente: opennet.ru