Megjelent az Apache HTTP szerver 2.4.52, amely 25 változtatást vezet be és 2 sebezhetőséget szüntetett meg:
- A CVE-2021-44790 egy puffertúlcsordulás a mod_lua-ban, amely többrészes kérések elemzésekor lép fel. A biztonsági rés azokat a konfigurációkat érinti, amelyekben a Lua-szkriptek az r:parsebody() függvényt hívják a kérés törzsének elemzéséhez, lehetővé téve a támadó számára, hogy puffertúlcsordulást okozzon egy speciálisan kialakított kérés elküldésével. Még nem azonosítottak bizonyítékot a kizsákmányolásra, de a probléma potenciálisan a kód végrehajtásához vezethet a szerveren.
- CVE-2021-44224 – SSRF (Server Side Request Forgery) biztonsági rése a mod_proxyban, amely lehetővé teszi a „ProxyRequests on” beállítású konfigurációkban egy speciálisan kialakított URI kérésén keresztül a kérés átirányítását egy másik kezelőhöz ugyanazon szerver, amely Unix Domain Socket-en keresztül fogadja a kapcsolatokat. A probléma összeomlás okozására is használható úgy, hogy létrehozza a nullmutató hivatkozási feltételeit. A probléma az Apache httpd 2.4.7-től kezdődő verzióit érinti.
A legjelentősebb nem biztonsági változások a következők:
- Támogatás hozzáadva az OpenSSL 3 könyvtárral való építéshez a mod_ssl-hez.
- Továbbfejlesztett OpenSSL-könyvtár-észlelés az autoconf szkriptekben.
- A mod_proxyban alagútkezelési protokollok esetén lehetőség van a félig zárt TCP kapcsolatok átirányításának letiltására a „SetEnv proxy-nohalfclose” paraméter beállításával.
- További ellenőrzések hozzáadva, hogy a nem proxyzásra szánt URI-k tartalmazzák a http/https sémát, a proxyzásra szánt URI-k pedig a gazdagép nevét.
- A mod_proxy_connect és a mod_proxy nem engedi, hogy az állapotkód megváltozzon, miután elküldte az ügyfélnek.
- Amikor közbenső válaszokat küld a „Várható: 100-Folytatás” fejléccel rendelkező kérések beérkezése után, győződjön meg arról, hogy az eredmény a „100 folytatás” állapotát jelzi, nem pedig a kérés aktuális állapotát.
- A mod_dav támogatja a CalDAV-bővítményeket, amelyekhez mind a dokumentumelemeket, mind a tulajdonságelemeket figyelembe kell venni egy tulajdonság generálásakor. Új dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() és dav_find_attr() függvények kerültek hozzáadásra, amelyek más modulokból is meghívhatók.
- Az mpm_eventben megoldódott a tétlen utódfolyamatok leállításával kapcsolatos probléma, miután a kiszolgáló túlterhelése megnövekedett.
- A Mod_http2 rögzített regressziós változtatásokat tartalmaz, amelyek helytelen viselkedést okoztak a MaxRequestsPerChild és MaxConnectionsPerChild korlátozások kezelésekor.
- A tanúsítványok fogadásának és karbantartásának automatizálására használt mod_md modul képességei az ACME (Automatic Certificate Management Environment) protokoll használatával bővültek:
- Támogatás hozzáadva az ACME külső fiókkötési (EAB) mechanizmusához, amely az MDExternalAccountBinding direktívával engedélyezett. Az EAB értékei külső JSON-fájlból konfigurálhatók, így elkerülhető, hogy a hitelesítési paraméterek megjelenjenek a fő szerver konfigurációs fájljában.
- Az „MDCertificateAuthority” direktíva biztosítja, hogy az URL-paraméter tartalmazza a http/https-t vagy az előre meghatározott nevek egyikét („LetsEncrypt”, „LetsEncrypt-Test”, „Buypass” és „Buypass-Test”).
- Engedélyezett az MDContactEmail direktíva megadása az szakaszban.
- Számos hibát kijavítottak, köztük egy memóriaszivárgást, amely akkor fordul elő, amikor a privát kulcs betöltése meghiúsul.
Forrás: opennet.ru