De frijlitting fan 'e Apache HTTP-tsjinner 2.4.48 is publisearre (release 2.4.47 waard oerslein), dy't 39 wizigingen yntroduseart en 8 kwetsberens elimineert:
- CVE-2021-30641 - seksje misfire yn 'MergeSlashes OFF' modus;
- CVE-2020-35452 - Single null byte stack oerstream yn mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - NULL oanwizer dereferences yn mod_http2, mod_session en mod_proxy_http;
- CVE-2020-13938 - Mooglikheid om it httpd-proses te stopjen troch in net-befoarrjochte brûker op Windows;
- CVE-2019-17567 - Protokolûnderhannelingsproblemen yn mod_proxy_wstunnel en mod_proxy_http.
De meast opfallende net-feiligenswizigingen binne:
- ProxyWebsocketFallbackToProxyHttp-ynstelling tafoege oan mod_proxy_wstunnel om de oergong nei it brûken fan mod_proxy_http foar WebSocket út te skeakeljen.
- De kearntsjinner API omfettet SSL-relatearre funksjes dy't no beskikber binne sûnder de mod_ssl-module (bygelyks, sadat de mod_md-module kaaien en sertifikaten leverje kin).
- Ferwurking fan OCSP (Online Certificate Status Protocol) antwurden is ferpleatst fan mod_ssl/mod_md nei it basisdiel, wêrtroch oare modules tagong krije ta OCSP-gegevens en OCSP-antwurden generearje.
- mod_md lit it gebrûk meitsje fan maskers yn 'e MDomains-rjochtline, bygelyks "MDomain *.host.net". De MDPrivateKeys-rjochtline makket it mooglik om ferskate soarten kaaien oan te jaan, bygelyks "MDPrivateKeys secp384r1 rsa2048" lit it gebrûk fan ECDSA- en RSA-sertifikaten ta. Stipe foar it legacy ACMEv1-protokol is levere.
- Stipe tafoege foar Lua 5.4 oan mod_lua.
- Bywurke ferzje fan de mod_http2 module. Ferbettere flater ôfhanneling. Tafoege 'H2OutputBuffering oan / út' opsje om útfierbuffering te kontrolearjen (standert ynskeakele).
- De mod_dav_FileETag-rjochtline ymplementearret de "Digest"-modus om in ETag te generearjen basearre op in hash fan 'e triemynhâld.
- mod_proxy kinne jo it brûken fan ProxyErrorOverride beheine ta spesifike status koades.
- Nije rjochtlinen ReadBufferSize, FlushMaxThreshold en FlushMaxPipelined binne ymplementearre.
- mod_rewrite ymplementearret ferwurking fan it SameSite-attribút by it parsearjen fan de flagge [CO] (cookie) yn 'e RewriteRule-rjochtline.
- Check_trans hook tafoege oan mod_proxy om oanfragen yn in ier stadium te wegerjen.
Boarne: opennet.ru