Välja on antud Apache HTTP-server 2.4.52, mis sisaldab 25 muudatust ja kõrvaldab 2 haavatavust:
- CVE-2021-44790 on mod_lua puhvri ületäitumine, mis ilmneb mitmeosaliste taotluste sõelumisel. See haavatavus mõjutab konfiguratsioone, milles Lua skriptid kutsuvad päringu keha sõelumiseks funktsiooni r:parsebody(), võimaldades ründajal spetsiaalselt koostatud päringu saates puhvri ületäitumist. Mingeid tõendeid ärakasutamise kohta pole veel tuvastatud, kuid probleem võib potentsiaalselt viia selle koodi käivitamiseni serveris.
- CVE-2021-44224 – SSRF (serveripoolse päringu võltsimine) haavatavus mod_proxys, mis võimaldab seadistusega „Puhverserveri taotlused sees” konfiguratsioonides spetsiaalselt loodud URI päringu kaudu saavutada päringu ümbersuunamise teisele samal töötlejale. server, mis võtab vastu ühendusi Unixi domeenisokli kaudu. Probleemi saab kasutada ka krahhi tekitamiseks, luues nullkursori viitamise tingimused. Probleem mõjutab Apache httpd versioone alates versioonist 2.4.7.
Kõige olulisemad turvalisusega mitteseotud muudatused on järgmised:
- Lisati mod_ssl-le OpenSSL 3 teegiga ehitamise tugi.
- Täiustatud OpenSSL-i teegi tuvastamine autoconfi skriptides.
- Mod_proxy-s on tunneliprotokollide jaoks võimalik keelata pooleldi suletud TCP-ühenduste ümbersuunamine, määrates parameetri "SetEnv proxy-nohalfclose".
- Lisatud on täiendavad kontrollid, et puhverserveriks mittekasutatavad URI-d sisaldaksid http/https skeemi ja puhverserveriks mõeldud URI-d sisaldavad hostinime.
- mod_proxy_connect ja mod_proxy ei luba olekukoodil pärast kliendile saatmist muutuda.
- Kui saadate vahepealseid vastuseid pärast päisega "Oodata: 100-jätka" päringute saamist, veenduge, et tulemus näitaks olekut "100 Jätka", mitte päringu praegust olekut.
- mod_dav lisab toe CalDAV-laiendustele, mis nõuavad atribuudi loomisel nii dokumendielementide kui ka atribuutide elementide arvessevõtmist. Lisatud uued funktsioonid dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() ja dav_find_attr(), mida saab kutsuda ka teistest moodulitest.
- Funktsioonis mpm_event on lahendatud probleem jõudeoleku alamprotsesside peatamisega pärast serveri koormuse suurenemist.
- Mod_http2 on fikseeritud regressioonimuudatused, mis põhjustasid MaxRequestsPerChild ja MaxConnectionsPerChild piirangute käsitlemisel vale käitumise.
- Täiustatud on ACME (Automatic Certificate Management Environment) protokolli kasutades sertifikaatide vastuvõtmise ja hoolduse automatiseerimiseks kasutatava mod_md mooduli võimalusi:
- Lisatud on ACME välise konto sidumise (EAB) mehhanismi tugi, mis on lubatud MDExternalAccountBinding direktiivi abil. EAB väärtusi saab konfigureerida välisest JSON-failist, vältides autentimisparameetrite paljastamist põhiserveri konfiguratsioonifailis.
- Direktiiv 'MDCertificateAuthority' tagab, et URL-i parameeter sisaldab http/https-i või ühte eelmääratletud nimedest ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' ja 'Buypass-Test').
- Lubatud määrata MDContactEmaili direktiiv jaotises .
- Parandatud on mitu viga, sealhulgas mäluleke, mis ilmneb privaatvõtme laadimise ebaõnnestumisel.
Allikas: opennet.ru