Apache HTTP サーバー 2.4.48 のリリースが公開されました (リリース 2.4.47 はスキップされました)。これには 39 の変更が導入され、8 つの脆弱性が排除されています。
- CVE-2021-30641 – 「MergeSlashes OFF」モードでの セクションの誤った操作。
- CVE-2020-35452 - mod_auth_digest での単一の null バイト スタック オーバーフロー。
- CVE-2021-31618、CVE-2020-26691、CVE-2020-26690、CVE-2020-13950 - mod_http2、mod_session、および mod_proxy_http での NULL ポインター逆参照。
- CVE-2020-13938 - Windows 上の特権のないユーザーによって httpd プロセスが停止される可能性。
- CVE-2019-17567 - mod_proxy_wstunnel および mod_proxy_http におけるプロトコル ネゴシエーションの問題。
セキュリティ以外の最も注目すべき変更は次のとおりです。
- WebSocket の mod_proxy_http の使用への移行を無効にするために、ProxyWebsocketFallbackToProxyHttp 設定を mod_proxy_wstunnel に追加しました。
- コア サーバー API には、mod_ssl モジュールなしで使用できる SSL 関連機能が含まれています (たとえば、mod_md モジュールでキーと証明書を提供できるようになります)。
- OCSP (Online Certificate Status Protocol) 応答の処理が mod_ssl/mod_md から基本部分に移動されました。これにより、他のモジュールが OCSP データにアクセスして OCSP 応答を生成できるようになります。
- mod_md を使用すると、MDomains ディレクティブでマスクを使用できます (たとえば、「MDomain *.host.net」)。 MDPrivateKeys ディレクティブを使用すると、さまざまなタイプのキーを指定できます。たとえば、「MDPrivateKeys secp384r1 rsa2048」では、ECDSA および RSA 証明書の使用が可能になります。レガシー ACMEv1 プロトコルのサポートが提供されています。
- Lua 5.4 のサポートが mod_lua に追加されました。
- mod_http2 モジュールの更新バージョン。エラー処理が改善されました。出力バッファリングを制御するための「H2OutputBuffering on/off」オプションを追加しました (デフォルトで有効)。
- mod_dav_FileETag ディレクティブは、ファイルの内容のハッシュに基づいて ETag を生成する「ダイジェスト」モードを実装します。
- mod_proxy を使用すると、ProxyErrorOverride の使用を特定のステータス コードに制限できます。
- 新しいディレクティブ ReadBufferSize、FlushMaxThreshold、および FlushMaxPipelined が実装されました。
- mod_rewrite は、RewriteRule ディレクティブの [CO] (Cookie) フラグを解析する際の SameSite 属性の処理を実装します。
- 初期段階でリクエストを拒否するために、check_trans フックを mod_proxy に追加しました。
出所: オープンネット.ru