È stato pubblicato il rilascio del server HTTP Apache 2.4.48 (il rilascio 2.4.47 è stato saltato), che presenta 39 modifiche e risolve 8 vulnerabilità:
- CVE-2021-30641 — attivazione errata della sezione in modalità 'MergeSlashes OFF';
- CVE-2020-35452 — overflow dello stack su un byte nullo in mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 — dereferenziazione del puntatore NULL in mod_http2, mod_session e mod_proxy_http;
- CVE-2020-13938 — possibilità per un utente non privilegiato di interrompere il processo httpd in Windows;
- CVE-2019-17567 — problemi di compatibilità dei protocolli in mod_proxy_wstunnel e mod_proxy_http.
Le modifiche più significative non correlate alla sicurezza:
- In mod_proxy_wstunnel è stata aggiunta l'impostazione ProxyWebsocketFallbackToProxyHttp per disabilitare il passaggio a mod_proxy_http per WebSocket.
- Nell'API principale del server sono state incluse funzioni correlate SSL che ora sono disponibili senza il modulo mod_ssl (ad esempio, consentendo al modulo mod_md di fornire chiavi e certificati).
- La gestione delle risposte OCSP (Online Certificate Status Protocol) è stata trasferita da mod_ssl/mod_md alla parte di base, permettendo ad altri moduli di accedere ai dati OCSP e generare risposte OCSP.
- In mod_md, the use of masks in the MDomains directive is allowed, for example, "MDomain *.host.net". In the MDPrivateKeys directive, specifying different types of keys is permitted, for example, "MDPrivateKeys secp384r1 rsa2048" allows the use of both ECDSA and RSA certificates. Support for the deprecated ACMEv1 protocol is provided.
- Support for Lua 5.4 has been added in mod_lua.
- The version of the mod_http2 module has been updated. Error handling has been improved. An option ‘H2OutputBuffering on/off’ has been added to control output buffering (enabled by default).
- In mod_dav, the FileETag directive implements the 'Digest' mode for generating ETag based on the hash of the file's content.
- In mod_proxy, limiting the application of ProxyErrorOverride to specific status codes has been allowed.
- New directives ReadBufferSize, FlushMaxThreshold, and FlushMaxPipelined have been implemented.
- In mod_rewrite, processing of the SameSite attribute when parsing the [CO] (cookie) flag in the RewriteRule directive has been realized.
- In mod_proxy, the check_trans hook has been added to reject requests at an earlier stage.
Fonte: opennet.ru
