Objavljeno je izdanje Apache HTTP poslužitelja 2.4.48 (izdanje 2.4.47 je preskočeno), koje uvodi 39 promjena i uklanja 8 ranjivosti:
- CVE-2021-30641 - zatajenje sekcije u načinu 'MergeSlashes OFF';
- CVE-2020-35452 - Single null byte overflow stack in mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - dereferencije NULL pokazivača u mod_http2, mod_session i mod_proxy_http;
- CVE-2020-13938 - Mogućnost zaustavljanja httpd procesa od strane neprivilegiranog korisnika u sustavu Windows;
- CVE-2019-17567 - Problemi s pregovorima protokola u mod_proxy_wstunnel i mod_proxy_http.
Najznačajnije nesigurnosne promjene:
- Dodana je postavka ProxyWebsocketFallbackToProxyHttp u mod_proxy_wstunnel kako bi se onemogućio prijelaz na korištenje mod_proxy_http za WebSocket.
- API temeljnog poslužitelja uključuje funkcije povezane sa SSL-om koje su sada dostupne bez mod_ssl modula (na primjer, omogućavanje mod_md modulu da pruži ključeve i certifikate).
- Obrada OCSP (Online Certificate Status Protocol) odgovora premještena je iz mod_ssl/mod_md u osnovni dio, što omogućuje drugim modulima pristup OCSP podacima i generiranje OCSP odgovora.
- mod_md dopušta korištenje maski u MDomains direktivi, na primjer, "MDomain *.host.net". Direktiva MDPrivateKeys dopušta određivanje različitih tipova ključeva, na primjer “MDPrivateKeys secp384r1 rsa2048” dopušta upotrebu ECDSA i RSA certifikata. Pružena je podrška za naslijeđeni ACMEv1 protokol.
- Dodana podrška za Lua 5.4 u mod_lua.
- Ažurirana verzija modula mod_http2. Poboljšano rukovanje pogreškama. Dodana opcija 'H2OutputBuffering on/off' za kontrolu izlaznog međuspremnika (omogućeno prema zadanim postavkama).
- Direktiva mod_dav_FileETag implementira način rada "Digest" za generiranje ETaga na temelju raspršivanja sadržaja datoteke.
- mod_proxy vam omogućuje da ograničite korištenje ProxyErrorOverride na određene statusne kodove.
- Implementirane su nove direktive ReadBufferSize, FlushMaxThreshold i FlushMaxPipelined.
- mod_rewrite implementira obradu atributa SameSite prilikom raščlanjivanja oznake [CO] (kolačić) u direktivi RewriteRule.
- Mod_proxy dodana kuka check_trans za odbijanje zahtjeva u ranoj fazi.
Izvor: opennet.ru