Server HTTP Apache 2.4.52 telah dirilis, memperkenalkan 25 perubahan dan menghilangkan 2 kerentanan:
- CVE-2021-44790 adalah buffer overflow di mod_lua yang terjadi saat mengurai permintaan multibagian. Kerentanan mempengaruhi konfigurasi di mana skrip Lua memanggil fungsi r:parsebody() untuk mengurai isi permintaan, memungkinkan penyerang menyebabkan buffer overflow dengan mengirimkan permintaan yang dibuat khusus. Belum ada bukti eksploitasi yang teridentifikasi, namun masalahnya berpotensi mengarah pada eksekusi kodenya di server.
- CVE-2021-44224 - Kerentanan SSRF (Pemalsuan Permintaan Sisi Server) di mod_proxy, yang memungkinkan, dalam konfigurasi dengan pengaturan “ProxyRequests aktif”, melalui permintaan untuk URI yang dirancang khusus, untuk mencapai pengalihan permintaan ke penangan lain yang sama server yang menerima koneksi melalui Unix Domain Socket. Masalah ini juga dapat digunakan untuk menyebabkan error dengan membuat kondisi untuk dereferensi penunjuk nol. Masalah ini mempengaruhi versi Apache httpd mulai dari versi 2.4.7.
Perubahan non-keamanan yang paling menonjol adalah:
- Menambahkan dukungan untuk membangun dengan perpustakaan OpenSSL 3 ke mod_ssl.
- Peningkatan deteksi perpustakaan OpenSSL dalam skrip autoconf.
- Di mod_proxy, untuk protokol tunneling, dimungkinkan untuk menonaktifkan pengalihan koneksi TCP setengah dekat dengan mengatur parameter “SetEnv proxy-nohalfclose”.
- Menambahkan pemeriksaan tambahan bahwa URI yang tidak dimaksudkan untuk proksi berisi skema http/https, dan URI yang dimaksudkan untuk proksi berisi nama host.
- mod_proxy_connect dan mod_proxy tidak mengizinkan perubahan kode status setelah dikirim ke klien.
- Saat mengirim respons perantara setelah menerima permintaan dengan header "Harapkan: 100-Lanjutkan", pastikan bahwa hasilnya menunjukkan status "100 Lanjutkan" dan bukan status permintaan saat ini.
- mod_dav menambahkan dukungan untuk ekstensi CalDAV, yang mengharuskan elemen dokumen dan elemen properti diperhitungkan saat membuat properti. Menambahkan fungsi baru dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() dan dav_find_attr(), yang dapat dipanggil dari modul lain.
- Di mpm_event, masalah menghentikan proses anak yang menganggur setelah lonjakan beban server telah teratasi.
- Mod_http2 telah memperbaiki perubahan regresi yang menyebabkan perilaku salah saat menangani pembatasan MaxRequestsPerChild dan MaxConnectionsPerChild.
- Kemampuan modul mod_md, yang digunakan untuk mengotomatisasi penerimaan dan pemeliharaan sertifikat menggunakan protokol ACME (Automatic Certificate Management Environment), telah diperluas:
- Menambahkan dukungan untuk mekanisme ACME External Account Binding (EAB), yang diaktifkan menggunakan arahan MDExternalAccountBinding. Nilai untuk EAB dapat dikonfigurasi dari file JSON eksternal, menghindari pemaparan parameter otentikasi di file konfigurasi server utama.
- Arahan 'MDCertificateAuthority' memastikan bahwa parameter URL berisi http/https atau salah satu nama yang telah ditentukan sebelumnya ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' dan 'Buypass-Test').
- Diizinkan untuk menentukan arahan MDContactEmail di dalam bagian .
- Beberapa bug telah diperbaiki, termasuk kebocoran memori yang terjadi ketika pemuatan kunci pribadi gagal.
Sumber: opennet.ru