ProHoster > وبلاگ > اخبار اینترنتی > انتشار سرور Apache 2.4.52 http با رفع سرریز بافر در mod_lua

انتشار سرور Apache 2.4.52 http با رفع سرریز بافر در mod_lua

سرور Apache HTTP 2.4.52 منتشر شد که 25 تغییر را معرفی کرد و 2 آسیب پذیری را حذف کرد:

  • CVE-2021-44790 یک سرریز بافر در mod_lua است که هنگام تجزیه درخواست های چند قسمتی رخ می دهد. این آسیب‌پذیری پیکربندی‌هایی را تحت تأثیر قرار می‌دهد که در آن اسکریپت‌های Lua تابع r:parsebody() را برای تجزیه بدنه درخواست فراخوانی می‌کنند و به مهاجم اجازه می‌دهد با ارسال یک درخواست ساخته‌شده خاص، سرریز بافر ایجاد کند. هنوز هیچ مدرکی دال بر اکسپلویت شناسایی نشده است، اما این مشکل به طور بالقوه می تواند منجر به اجرای کد آن بر روی سرور شود.
  • CVE-2021-44224 - آسیب‌پذیری SSRF (Server Side Request Forgery) در mod_proxy، که در پیکربندی‌هایی با تنظیمات «ProxyRequests on»، از طریق درخواست یک URI ویژه طراحی‌شده، اجازه می‌دهد تا به یک هدایت‌کننده درخواست به یک کنترل‌کننده دیگر در همان مورد دسترسی پیدا کند. سروری که اتصالات را از طریق سوکت دامنه یونیکس می پذیرد. همچنین می توان از این مشکل برای ایجاد خرابی با ایجاد شرایط برای عدم ارجاع اشاره گر تهی استفاده کرد. این مشکل بر روی نسخه‌های Apache httpd از نسخه 2.4.7 تأثیر می‌گذارد.

بارزترین تغییرات غیر امنیتی عبارتند از:

  • پشتیبانی برای ساخت با کتابخانه OpenSSL 3 به mod_ssl اضافه شد.
  • بهبود تشخیص کتابخانه OpenSSL در اسکریپت های خودکار.
  • در mod_proxy، برای پروتکل‌های تونل‌سازی، می‌توان با تنظیم پارامتر SetEnv proxy-nohalfclose، تغییر مسیر اتصالات TCP نیمه بسته را غیرفعال کرد.
  • بررسی‌های اضافی اضافه شد مبنی بر اینکه URI‌هایی که برای پروکسی در نظر گرفته نشده‌اند شامل طرح http/https هستند و مواردی که برای پروکسی در نظر گرفته شده‌اند حاوی نام میزبان هستند.
  • mod_proxy_connect و mod_proxy اجازه نمی دهند کد وضعیت پس از ارسال به مشتری تغییر کند.
  • هنگام ارسال پاسخ‌های میانی پس از دریافت درخواست‌ها با سربرگ "Expect: 100-Continue"، مطمئن شوید که نتیجه به جای وضعیت فعلی درخواست، وضعیت "100 Continue" را نشان می‌دهد.
  • mod_dav پشتیبانی از برنامه‌های افزودنی CalDAV را اضافه می‌کند، که لازم است هم عناصر سند و هم عناصر ویژگی در هنگام ایجاد یک ویژگی در نظر گرفته شوند. توابع جدید dav_validate_root_ns()، dav_find_child_ns()، dav_find_next_ns()، dav_find_attr_ns() و dav_find_attr()، که می توانند از ماژول های دیگر فراخوانی شوند.
  • در mpm_event، مشکل توقف پردازش های فرزند بیکار پس از افزایش بار سرور برطرف شد.
  • Mod_http2 تغییرات رگرسیونی را که باعث رفتار نادرست هنگام مدیریت محدودیت‌های MaxRequestsPerChild و MaxConnectionsPerChild می‌شد، ثابت کرده است.
  • قابلیت‌های ماژول mod_md که برای خودکارسازی دریافت و نگهداری گواهی‌ها با استفاده از پروتکل ACME (محیط مدیریت گواهی خودکار) استفاده می‌شود، گسترش یافته است:
    • پشتیبانی از مکانیزم ACME External Account Binding (EAB) اضافه شده است که با استفاده از دستورالعمل MDExternalAccountBinding فعال شده است. مقادیر برای EAB را می توان از یک فایل JSON خارجی پیکربندی کرد و از افشای پارامترهای احراز هویت در فایل پیکربندی سرور اصلی جلوگیری کرد.
    • دستورالعمل "MDCertificateAuthority" تضمین می کند که پارامتر URL حاوی http/https یا یکی از نام های از پیش تعریف شده ("LetsEncrypt"، "LetsEncrypt-Test"، "Buypass" و "Buypass-Test") باشد.
    • مجاز به تعیین دستورالعمل MDContactEmail در داخل بخش .
    • چندین باگ برطرف شده است، از جمله نشت حافظه که هنگام بارگیری کلید خصوصی رخ می دهد.

منبع: opennet.ru

اضافه کردن نظر