De Apache HTTP-tsjinner 2.4.52 is frijjûn, yntrodusearret 25 wizigingen en elimineert 2 kwetsberens:
- CVE-2021-44790 is in bufferoerlêst yn mod_lua dy't optreedt by it parsearjen fan meardere fersiken. De kwetsberens hat ynfloed op konfiguraasjes wêryn Lua-skripts de funksje r: parsebody() neame om it fersyklichem te parsearjen, wêrtroch in oanfaller in bufferoerlêst kin feroarsaakje troch in spesjaal makke fersyk te stjoeren. Gjin bewiis fan in eksploitaasje is noch identifisearre, mar it probleem kin mooglik liede ta de útfiering fan syn koade op de tsjinner.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) kwetsberens yn mod_proxy, wêrtroch, yn konfiguraasjes mei de ynstelling "ProxyRequests on", troch in fersyk foar in spesjaal ûntworpen URI, in fersyk trochferwizing nei in oare handler op itselde te berikken tsjinner dy't akseptearret ferbinings fia in Unix Domain Socket. It probleem kin ek brûkt wurde om in crash te feroarsaakjen troch de betingsten te meitsjen foar in nul pointer dereference. It probleem hat ynfloed op ferzjes fan Apache httpd fanôf ferzje 2.4.7.
De meast opfallende net-feiligenswizigingen binne:
- Stipe tafoege foar it bouwen mei de OpenSSL 3-bibleteek oan mod_ssl.
- Ferbettere OpenSSL-bibleteekdeteksje yn autoconf-skripts.
- Yn mod_proxy, foar tunnelingprotokollen, is it mooglik om trochferwizing fan heal-tichte TCP-ferbiningen út te skeakeljen troch de parameter "SetEnv proxy-nohalfclose" yn te stellen.
- Oanfoljende kontrôles tafoege dat URI's dy't net bedoeld binne foar proxying it http/https-skema befetsje, en dy't bedoeld foar proxying de hostnamme befetsje.
- mod_proxy_connect en mod_proxy net tastean de status koade te feroarjen neidat it is stjoerd nei de klant.
- By it ferstjoeren fan tuskenreaksjes nei ûntfangst fan oanfragen mei de koptekst "Ferwachtsje: 100-Fergean", soargje derfoar dat it resultaat de status fan "100 Trochgean" oanjout ynstee fan de hjoeddeistige status fan it fersyk.
- mod_dav foeget stipe ta foar CalDAV-útwreidingen, dy't fereaskje dat sawol dokuminteleminten as eigendomseleminten rekken holden wurde by it generearjen fan in eigendom. Nije funksjes tafoege dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () en dav_find_attr (), dat kin wurde neamd út oare modules.
- Yn mpm_event is it probleem mei it stopjen fan idle bernprosessen nei in tanimming fan tsjinnerbelêsting oplost.
- Mod_http2 hat fêste regression feroarings dy't feroarsake ferkeard gedrach by it behanneljen fan MaxRequestsPerChild en MaxConnectionsPerChild beheinings.
- De mooglikheden fan 'e mod_md-module, brûkt om de ûntfangst en ûnderhâld fan sertifikaten te automatisearjen mei it ACME (Automatic Certificate Management Environment) protokol, binne útwreide:
- Stipe tafoege foar it ACME External Account Binding (EAB) meganisme, ynskeakele mei de MDExternalAccountBinding-rjochtline. Wearden foar de EAB kinne wurde konfigureare fanút in ekstern JSON-bestân, om te foarkommen dat autentikaasjeparameters bleatsteld wurde yn it haadkonfiguraasjetriem fan 'e tsjinner.
- De 'MDCertificateAuthority'-rjochtline soarget derfoar dat de URL-parameter http/https of ien fan 'e foarôf definieare nammen befettet ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' en 'Buypass-Test').
- Tastimming om de MDContactEmail-rjochtline yn in seksje op te jaan .
- Ferskate bugs binne reparearre, ynklusyf in ûnthâldlek dat optreedt as it laden fan in privee kaai mislearret.
Boarne: opennet.ru