שחרור של שרת http Apache 2.4.52 עם תיקון גלישת מאגר ב-mod_lua

שרת ה-HTTP של Apache 2.4.52 שוחרר, מציג 25 שינויים ומבטל 2 פגיעויות:

• CVE-2021-44790 הוא גלישת מאגר ב-mod_lua המתרחשת בעת ניתוח בקשות מרובי חלק. הפגיעות משפיעה על תצורות שבהן סקריפטים של Lua קוראים לפונקציה r:parsebody() כדי לנתח את גוף הבקשה, מה שמאפשר לתוקף לגרום לגלישה במאגר על ידי שליחת בקשה בעלת מבנה מיוחד. עדיין לא זוהו עדות לניצול, אך הבעיה עלולה להוביל לביצוע הקוד שלה בשרת.
• CVE-2021-44224 - פגיעות SSRF (Server Side Request Forgery) ב-mod_proxy, המאפשרת, בתצורות עם ההגדרה "ProxyRequests on", באמצעות בקשה ל-URI שתוכנן במיוחד, להשיג הפניית בקשה למטפל אחר באותו שרת שמקבל חיבורים דרך שקע תחום Unix. ניתן להשתמש בבעיה גם כדי לגרום לקריסה על ידי יצירת התנאים להפניית מצביע אפס. הבעיה משפיעה על גרסאות של Apache httpd החל מגרסה 2.4.7.

השינויים הבולטים שאינם ביטחוניים הם:

• נוספה תמיכה בבנייה עם ספריית OpenSSL 3 ל-mod_ssl.
• זיהוי ספריית OpenSSL משופר בסקריפטים אוטומטיים.
• ב-mod_proxy, לפרוטוקולי מנהור, ניתן לבטל ניתוב מחדש של חיבורי TCP חצי סגורים על ידי הגדרת הפרמטר "SetEnv proxy-nohalfclose".
• נוספו בדיקות נוספות לכך ש-URI שאינם מיועדים ל-proxy מכילים את סכימת http/https, ואלה המיועדים ל-proxy מכילים את שם המארח.
• mod_proxy_connect ו-mod_proxy אינם מאפשרים לשנות את קוד הסטטוס לאחר שנשלח ללקוח.
• בעת שליחת תגובות ביניים לאחר קבלת בקשות עם הכותרת "צפו: 100-המשך", ודא שהתוצאה מציינת את המצב של "המשך 100" ולא את המצב הנוכחי של הבקשה.
• mod_dav מוסיף תמיכה בהרחבות CalDAV, המחייבות לקחת בחשבון גם רכיבי מסמך וגם רכיבי נכס בעת יצירת נכס. נוספו פונקציות חדשות dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() ו-dav_find_attr(), אשר ניתן לקרוא ממודולים אחרים.
• ב-mpm_event, הבעיה עם עצירת תהליכי צאצא סרק לאחר עלייה בעומס השרת נפתרה.
• ל-Mod_http2 יש שינויי רגרסיה קבועים שגרמו להתנהגות שגויה בעת טיפול בהגבלות MaxRequestsPerChild ו- MaxConnectionsPerChild.
• היכולות של מודול mod_md, המשמש לאוטומטיות של קבלה ותחזוקה של אישורים באמצעות פרוטוקול ACME (סביבה אוטומטית לניהול תעודות), הורחבו:
  • נוספה תמיכה במנגנון ACME External Account Binding (EAB), המופעל באמצעות הוראת MDExternalAccountBinding. ניתן להגדיר ערכים עבור EAB מקובץ JSON חיצוני, תוך הימנעות מחשיפת פרמטרי אימות בקובץ תצורת השרת הראשי.
  • ההנחיה 'MDCertificateAuthority' מבטיחה שפרמטר כתובת האתר מכיל http/https או אחד מהשמות המוגדרים מראש ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' ו-'Buypass-Test').
  • מותר לציין את הנחיית MDContactEmail בתוך הקטע .
  • מספר באגים תוקנו, כולל דליפת זיכרון המתרחשת כאשר טעינת מפתח פרטי נכשלת.

מקור: OpenNet.ru