سرور Apache HTTP 2.4.52 منتشر شد که 25 تغییر را معرفی کرد و 2 آسیب پذیری را حذف کرد:
- CVE-2021-44790 یک سرریز بافر در mod_lua است که هنگام تجزیه درخواست های چند قسمتی رخ می دهد. این آسیبپذیری پیکربندیهایی را تحت تأثیر قرار میدهد که در آن اسکریپتهای Lua تابع r:parsebody() را برای تجزیه بدنه درخواست فراخوانی میکنند و به مهاجم اجازه میدهد با ارسال یک درخواست ساختهشده خاص، سرریز بافر ایجاد کند. هنوز هیچ مدرکی دال بر اکسپلویت شناسایی نشده است، اما این مشکل به طور بالقوه می تواند منجر به اجرای کد آن بر روی سرور شود.
- CVE-2021-44224 - آسیبپذیری SSRF (Server Side Request Forgery) در mod_proxy، که در پیکربندیهایی با تنظیمات «ProxyRequests on»، از طریق درخواست یک URI ویژه طراحیشده، اجازه میدهد تا به یک هدایتکننده درخواست به یک کنترلکننده دیگر در همان مورد دسترسی پیدا کند. سروری که اتصالات را از طریق سوکت دامنه یونیکس می پذیرد. همچنین می توان از این مشکل برای ایجاد خرابی با ایجاد شرایط برای عدم ارجاع اشاره گر تهی استفاده کرد. این مشکل بر روی نسخههای Apache httpd از نسخه 2.4.7 تأثیر میگذارد.
بارزترین تغییرات غیر امنیتی عبارتند از:
- پشتیبانی برای ساخت با کتابخانه OpenSSL 3 به mod_ssl اضافه شد.
- بهبود تشخیص کتابخانه OpenSSL در اسکریپت های خودکار.
- در mod_proxy، برای پروتکلهای تونلسازی، میتوان با تنظیم پارامتر SetEnv proxy-nohalfclose، تغییر مسیر اتصالات TCP نیمه بسته را غیرفعال کرد.
- بررسیهای اضافی اضافه شد مبنی بر اینکه URIهایی که برای پروکسی در نظر گرفته نشدهاند شامل طرح http/https هستند و مواردی که برای پروکسی در نظر گرفته شدهاند حاوی نام میزبان هستند.
- mod_proxy_connect و mod_proxy اجازه نمی دهند کد وضعیت پس از ارسال به مشتری تغییر کند.
- هنگام ارسال پاسخهای میانی پس از دریافت درخواستها با سربرگ "Expect: 100-Continue"، مطمئن شوید که نتیجه به جای وضعیت فعلی درخواست، وضعیت "100 Continue" را نشان میدهد.
- mod_dav پشتیبانی از برنامههای افزودنی CalDAV را اضافه میکند، که لازم است هم عناصر سند و هم عناصر ویژگی در هنگام ایجاد یک ویژگی در نظر گرفته شوند. توابع جدید dav_validate_root_ns()، dav_find_child_ns()، dav_find_next_ns()، dav_find_attr_ns() و dav_find_attr()، که می توانند از ماژول های دیگر فراخوانی شوند.
- در mpm_event، مشکل توقف پردازش های فرزند بیکار پس از افزایش بار سرور برطرف شد.
- Mod_http2 تغییرات رگرسیونی را که باعث رفتار نادرست هنگام مدیریت محدودیتهای MaxRequestsPerChild و MaxConnectionsPerChild میشد، ثابت کرده است.
- قابلیتهای ماژول mod_md که برای خودکارسازی دریافت و نگهداری گواهیها با استفاده از پروتکل ACME (محیط مدیریت گواهی خودکار) استفاده میشود، گسترش یافته است:
- پشتیبانی از مکانیزم ACME External Account Binding (EAB) اضافه شده است که با استفاده از دستورالعمل MDExternalAccountBinding فعال شده است. مقادیر برای EAB را می توان از یک فایل JSON خارجی پیکربندی کرد و از افشای پارامترهای احراز هویت در فایل پیکربندی سرور اصلی جلوگیری کرد.
- دستورالعمل "MDCertificateAuthority" تضمین می کند که پارامتر URL حاوی http/https یا یکی از نام های از پیش تعریف شده ("LetsEncrypt"، "LetsEncrypt-Test"، "Buypass" و "Buypass-Test") باشد.
- مجاز به تعیین دستورالعمل MDContactEmail در داخل بخش .
- چندین باگ برطرف شده است، از جمله نشت حافظه که هنگام بارگیری کلید خصوصی رخ می دهد.
منبع: opennet.ru