Apache HTTP zerbitzaria 2.4.52 kaleratu da, 25 aldaketa sartuz eta 2 ahultasun ezabatuz:
- CVE-2021-44790 zati anitzeko eskaerak analizatzean gertatzen den mod_lua-n buffer gainezka da. Zaurgarritasunak Lua scriptek r:parsebody() funtzioa deitzen duten eskaeraren gorputza analizatzeko konfigurazioetan eragiten du, erasotzaileak buffer gainezkatzea ahalbidetuz, bereziki landutako eskaera bat bidaliz. Oraindik ez da ustiatu baten frogarik identifikatu, baina arazoa zerbitzarian bere kodea exekutatu dezake.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) ahultasuna mod_proxy-n, "ProxyRequests on" ezarpena duten konfigurazioetan, berariaz diseinatutako URI baten eskaeraren bidez, eskaera beraren beste kudeatzaile batera birbideratzeko aukera ematen du. Unix Domain Socket baten bidez konexioak onartzen dituen zerbitzaria. Arazoa hutsegite bat sortzeko ere erabil daiteke erakusle nuluaren deserreferentziarako baldintzak sortuz. Arazoak 2.4.7 bertsiotik hasita Apache httpd-ren bertsioei eragiten die.
Segurtasunaz kanpoko aldaketa nabarmenenak hauek dira:
- OpenSSL 3 liburutegiarekin eraikitzeko laguntza gehitu da mod_ssl-era.
- OpenSSL liburutegiaren detekzio hobetua autoconf scriptetan.
- Mod_proxy-n, tunel-protokoloetarako, posible da TCP erdi itxiko konexioen birbideratzea "SetEnv proxy-nohalfclose" parametroa ezarriz.
- Proxy egiteko pentsatuta ez dauden URIek http/https eskema dutela eta proxyrako pentsatutakoek ostalari-izena dutela egiaztatze osagarriak gehitu dira.
- mod_proxy_connect eta mod_proxy-k ez dute onartzen egoera kodea aldatzen bezeroari bidali ondoren.
- "Espero: 100-Jarraitu" goiburuarekin eskaerak jaso ondoren tarteko erantzunak bidaltzean, ziurtatu emaitzak "100 Jarraitu" egoera adierazten duela, eta ez eskaeraren uneko egoera.
- mod_dav-ek CalDAV luzapenetarako euskarria gehitzen du, hau da, dokumentu-elementuak eta propietate-elementuak kontuan hartu behar dira propietate bat sortzerakoan. Dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() eta dav_find_attr() funtzio berriak gehitu dira, beste moduluetatik dei daitezkeenak.
- Mpm_event-en, zerbitzariaren karga areagotu ondoren inaktiboen seme-alaben prozesuak geldiarazteko arazoa konpondu da.
- Mod_http2-k MaxRequestsPerChild eta MaxConnectionsPerChild murrizketak kudeatzean portaera okerra eragiten zuten erregresio aldaketak konpondu ditu.
- ACME (Automatic Certificate Management Environment) protokoloa erabiliz ziurtagirien jasotzea eta mantentzea automatizatzeko erabiltzen den mod_md moduluaren gaitasunak zabaldu dira:
- ACME External Account Binding (EAB) mekanismorako laguntza gehitu da, MDExternalAccountBinding zuzentaraua erabiliz gaituta. EAB-rako balioak kanpoko JSON fitxategi batetik konfigura daitezke, zerbitzariaren konfigurazio fitxategi nagusian autentifikazio-parametroak erakustea saihestuz.
- 'MDCertificateAuthority' zuzentarauak URL parametroak http/https edo aurrez zehaztutako izenetako bat duela ziurtatzen du ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' eta 'Buypass-Test').
- Atalaren barruan MDContactEmail zuzentaraua zehazteko baimena .
- Hainbat akats konpondu dira, besteak beste, gako pribatu bat kargatzean huts egiten denean gertatzen den memoria ihesa.
Iturria: opennet.ru