È stato rilasciato il server Apache HTTP 2.4.52 che introduce 25 modifiche ed elimina 2 vulnerabilità:
- CVE-2021-44790 è un overflow del buffer in mod_lua che si verifica durante l'analisi di richieste in più parti. La vulnerabilità colpisce le configurazioni in cui gli script Lua chiamano la funzione r:parsebody() per analizzare il corpo della richiesta, consentendo a un utente malintenzionato di causare un overflow del buffer inviando una richiesta appositamente predisposta. Non è stata ancora identificata alcuna prova di un exploit, ma il problema potrebbe potenzialmente portare all'esecuzione del relativo codice sul server.
- CVE-2021-44224 - Vulnerabilità SSRF (Server Side Request Forgery) in mod_proxy, che consente, nelle configurazioni con l'impostazione "ProxyRequests on", attraverso una richiesta di un URI appositamente progettato, di ottenere un reindirizzamento della richiesta a un altro gestore sullo stesso server che accetta connessioni tramite Unix Domain Socket. Il problema può anche essere utilizzato per causare un arresto anomalo del sistema creando le condizioni per una dereferenziazione del puntatore nullo. Il problema riguarda le versioni di Apache httpd a partire dalla versione 2.4.7.
Le modifiche più importanti non legate alla sicurezza:
- Aggiunto il supporto per la creazione con la libreria OpenSSL 3 a mod_ssl.
- Miglioramento del rilevamento della libreria OpenSSL negli script autoconf.
- In mod_proxy, per i protocolli di tunneling, è possibile disabilitare il reindirizzamento delle connessioni TCP half-close impostando il parametro “SetEnv proxy-nohalfclose”.
- Aggiunti ulteriori controlli che gli URI non destinati al proxy contengano lo schema http/https e quelli destinati al proxy contengano il nome host.
- mod_proxy_connect e mod_proxy non consentono la modifica del codice di stato dopo che è stato inviato al client.
- Quando si inviano risposte intermedie dopo aver ricevuto richieste con l'intestazione "Expect: 100-Continue", assicurarsi che il risultato indichi lo stato "100 Continue" anziché lo stato corrente della richiesta.
- mod_dav aggiunge il supporto per le estensioni CalDAV, che richiedono che siano presi in considerazione sia gli elementi del documento che gli elementi della proprietà durante la generazione di una proprietà. Aggiunte nuove funzioni dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() e dav_find_attr(), che possono essere chiamate da altri moduli.
- In mpm_event è stato risolto il problema relativo all'arresto dei processi secondari inattivi dopo un aumento del carico del server.
- Mod_http2 ha corretto le modifiche alla regressione che causavano un comportamento errato durante la gestione delle restrizioni MaxRequestsPerChild e MaxConnectionsPerChild.
- Sono state ampliate le funzionalità del modulo mod_md, utilizzato per automatizzare la ricezione e il mantenimento dei certificati utilizzando il protocollo ACME (Automatic Certificate Management Environment):
- Aggiunto il supporto per il meccanismo EAB (External Account Binding) ACME, abilitato utilizzando la direttiva MDExternalAccountBinding. I valori per l'EAB possono essere configurati da un file JSON esterno, evitando di esporre i parametri di autenticazione nel file di configurazione del server principale.
- La direttiva 'MDCertificateAuthority' garantisce che il parametro URL contenga http/https o uno dei nomi predefiniti ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' e 'Buypass-Test').
- Autorizzato a specificare la direttiva MDContactEmail all'interno della sezione .
- Sono stati corretti diversi bug, inclusa una perdita di memoria che si verifica quando il caricamento di una chiave privata non riesce.
Fonte: opennet.ru