Publicouse a versión 2.4.48 do servidor Apache HTTP (omitiuse a versión 2.4.47), que introduce 39 cambios e elimina 8 vulnerabilidades:
- CVE-2021-30641 - fallo de encendido da sección no modo "MergeSlashes OFF";
- CVE-2020-35452 - Desbordamento de pila de bytes nulos únicos en mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - Desreferencias de punteiro NULL en mod_http2, mod_session e mod_proxy_http;
- CVE-2020-13938 - Posibilidade de deter o proceso httpd por parte dun usuario sen privilexios en Windows;
- CVE-2019-17567 - Problemas de negociación de protocolos en mod_proxy_wstunnel e mod_proxy_http.
Os cambios non relacionados coa seguridade máis salientables son:
- Engadiuse a configuración de ProxyWebsocketFallbackToProxyHttp a mod_proxy_wstunnel para desactivar a transición ao uso de mod_proxy_http para WebSocket.
- A API do servidor principal inclúe funcións relacionadas con SSL que agora están dispoñibles sen o módulo mod_ssl (por exemplo, permitindo que o módulo mod_md proporcione claves e certificados).
- O procesamento das respostas OCSP (Online Certificate Status Protocol) moveuse de mod_ssl/mod_md á parte base, o que permite que outros módulos accedan aos datos OCSP e xeren respostas OCSP.
- mod_md permite o uso de máscaras na directiva MDomains, por exemplo, "MDomain *.host.net". A directiva MDPrivateKeys permite especificar diferentes tipos de claves, por exemplo "MDPrivateKeys secp384r1 rsa2048" permite o uso de certificados ECDSA e RSA. Soporte para o protocolo ACMEv1 herdado.
- Engadido soporte para Lua 5.4 a mod_lua.
- Versión actualizada do módulo mod_http2. Mellorado o tratamento de erros. Engadida a opción "H2OutputBuffering on/off" para controlar o búfer de saída (activado por defecto).
- A directiva mod_dav_FileETag implementa o modo "Resumo" para xerar un ETag baseado nun hash do contido do ficheiro.
- mod_proxy permítelle limitar o uso de ProxyErrorOverride a códigos de estado específicos.
- Implementáronse novas directivas ReadBufferSize, FlushMaxThreshold e FlushMaxPipelined.
- mod_rewrite implementa o procesamento do atributo SameSite ao analizar a marca [CO] (cookie) na directiva RewriteRule.
- Engadiuse o gancho check_trans a mod_proxy para rexeitar solicitudes nunha fase inicial.
Fonte: opennet.ru