Lanzouse o servidor Apache HTTP 2.4.52, introducindo 25 cambios e eliminando 2 vulnerabilidades:
- CVE-2021-44790 é un desbordamento do búfer en mod_lua que se produce ao analizar solicitudes multiparte. A vulnerabilidade afecta ás configuracións nas que os scripts Lua chaman á función r:parsebody() para analizar o corpo da solicitude, o que permite que un atacante provoque un desbordamento do búfer enviando unha solicitude especialmente elaborada. Aínda non se identificou ningunha evidencia dun exploit, pero o problema podería levar á execución do seu código no servidor.
- CVE-2021-44224 - Vulnerabilidade SSRF (Server Side Request Forgery) en mod_proxy, que permite, en configuracións coa configuración "ProxyRequests on", a través dunha solicitude dun URI especialmente deseñado, conseguir unha redirección de solicitude a outro controlador no mesmo servidor que acepta conexións mediante un Socket de dominio Unix. O problema tamén se pode usar para causar un fallo creando as condicións para unha desreferencia de punteiro nulo. O problema afecta ás versións de Apache httpd a partir da versión 2.4.7.
Os cambios non relacionados coa seguridade máis salientables son:
- Engadido soporte para construír coa biblioteca OpenSSL 3 a mod_ssl.
- Mellora a detección de bibliotecas OpenSSL nos scripts de autoconf.
- En mod_proxy, para os protocolos de tunelización, é posible desactivar a redirección de conexións TCP semipechadas configurando o parámetro "SetEnv proxy-nohalfclose".
- Engadíronse comprobacións adicionais de que os URI non destinados ao proxy conteñen o esquema http/https, e os destinados ao proxy conteñen o nome de host.
- mod_proxy_connect e mod_proxy non permiten que o código de estado cambie despois de ser enviado ao cliente.
- Cando envíe respostas intermedias despois de recibir solicitudes coa cabeceira "Esperar: 100-Continuar", asegúrese de que o resultado indique o estado de "100 Continuar" en lugar do estado actual da solicitude.
- mod_dav engade soporte para extensións CalDAV, que requiren que se teñan en conta tanto os elementos do documento como os elementos da propiedade ao xerar unha propiedade. Engadíronse novas funcións dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() e dav_find_attr(), que se poden chamar desde outros módulos.
- En mpm_event, resolveuse o problema de deter os procesos fillos inactivos despois dun aumento da carga do servidor.
- Mod_http2 fixou cambios de regresión que causaban un comportamento incorrecto ao manexar as restricións MaxRequestsPerChild e MaxConnectionsPerChild.
- Ampliáronse as capacidades do módulo mod_md, utilizado para automatizar a recepción e mantemento de certificados mediante o protocolo ACME (Automatic Certificate Management Environment):
- Engadiuse compatibilidade co mecanismo ACME External Account Binding (EAB), habilitado mediante a directiva MDExternalAccountBinding. Os valores para o EAB pódense configurar desde un ficheiro JSON externo, evitando expoñer os parámetros de autenticación no ficheiro de configuración do servidor principal.
- A directiva 'MDCertificateAuthority' garante que o parámetro URL conteña http/https ou un dos nomes predefinidos ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' e 'Buypass-Test').
- Permítese especificar a directiva MDContactEmail dentro da sección .
- Corrixíronse varios erros, incluíndo unha fuga de memoria que se produce cando falla a carga dunha chave privada.
Fonte: opennet.ru