Apache HTTP-palvelin 2.4.52 on julkaistu, ja se sisältää 25 muutosta ja poistaa 2 haavoittuvuutta:
- CVE-2021-44790 on puskurin ylivuoto mod_lua:ssa, joka tapahtuu jäsennettäessä moniosaisia pyyntöjä. Haavoittuvuus vaikuttaa kokoonpanoihin, joissa Lua-komentosarjat kutsuvat r:parsebody()-funktiota jäsentämään pyynnön rungon, jolloin hyökkääjä voi aiheuttaa puskurin ylivuodon lähettämällä erityisesti muodostetun pyynnön. Todisteita hyväksikäytöstä ei ole vielä tunnistettu, mutta ongelma voi mahdollisesti johtaa sen koodin suorittamiseen palvelimella.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) -haavoittuvuus mod_proxyssa, joka mahdollistaa kokoonpanoissa, joissa on "ProxyRequests on" -asetus, erityisesti suunniteltua URI-osoitetta koskevan pyynnön kautta pyynnön uudelleenohjauksen toiseen käsittelijään samassa tilassa. palvelin, joka hyväksyy yhteydet Unix Domain Socketin kautta. Ongelmaa voidaan käyttää myös kaatumisen aiheuttamiseen luomalla ehdot nollaosoittimen viittaukselle. Ongelma koskee Apache httpd:n versioita versiosta 2.4.7 alkaen.
Merkittävimmät ei-turvallisuuteen liittyvät muutokset:
- Lisätty tuki OpenSSL 3 -kirjaston avulla rakentamiseen mod_ssl:ään.
- Parannettu OpenSSL-kirjaston tunnistus autoconf-skripteissä.
- Mod_proxyssa tunnelointiprotokollia varten on mahdollista poistaa käytöstä puolisuljettujen TCP-yhteyksien uudelleenohjaus asettamalla "SetEnv proxy-nohalfclose" -parametri.
- Lisätty lisätarkistuksia, että URI:t, joita ei ole tarkoitettu välityspalvelimeen, sisältävät http/https-mallin ja välityspalvelimeen tarkoitetut sisältävät isäntänimen.
- mod_proxy_connect ja mod_proxy eivät salli tilakoodin muuttumista sen jälkeen, kun se on lähetetty asiakkaalle.
- Kun lähetät välivastauksia saatuaan pyyntöjä, joissa on "Odota: 100-Jatka" -otsikko, varmista, että tulos ilmaisee tilan "100 Continue" pyynnön nykyisen tilan sijaan.
- mod_dav lisää tuen CalDAV-laajennuksille, jotka edellyttävät, että sekä asiakirjaelementit että ominaisuuselementit on otettava huomioon ominaisuutta luotaessa. Lisätty uudet funktiot dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() ja dav_find_attr(), joita voidaan kutsua muista moduuleista.
- Kohdassa mpm_event ongelma, joka liittyy käyttämättömien lapsiprosessien pysäyttämiseen palvelimen kuormituksen nousun jälkeen, on ratkaistu.
- Mod_http2 on korjannut regressiomuutoksia, jotka aiheuttivat virheellisen toiminnan MaxRequestsPerChild- ja MaxConnectionsPerChild-rajoitusten käsittelyssä.
- Varmenteiden vastaanottamisen ja ylläpidon automatisoimiseen ACME (Automatic Certificate Management Environment) -protokollaa käyttävän mod_md-moduulin ominaisuuksia on laajennettu:
- Lisätty tuki ACME External Account Binding (EAB) -mekanismille, joka on otettu käyttöön MDExternalAccountBinding-direktiivin avulla. EAB:n arvot voidaan määrittää ulkoisesta JSON-tiedostosta, jolloin vältetään todennusparametrien paljastaminen pääpalvelimen määritystiedostossa.
- MDCertificateAuthority-käsky varmistaa, että URL-parametri sisältää http/https tai jonkin ennalta määritetyistä nimistä ("LetsEncrypt", "LetsEncrypt-Test", "Buypass" ja "Buypass-Test").
- MDContactEmail-direktiivin määrittäminen osion sisällä .
- Useita virheitä on korjattu, mukaan lukien muistivuoto, joka tapahtuu, kun yksityisen avaimen lataus epäonnistuu.
Lähde: opennet.ru