Apache HTTP サーバー 2.4.52 がリリースされ、25 の変更が導入され、2 つの脆弱性が解消されました。
- CVE-2021-44790 は、マルチパート リクエストを解析するときに発生する mod_lua のバッファ オーバーフローです。この脆弱性は、Lua スクリプトが r:parsebody() 関数を呼び出してリクエスト本文を解析する構成に影響し、攻撃者が特別に細工されたリクエストを送信してバッファ オーバーフローを引き起こす可能性があります。エクスプロイトの証拠はまだ特定されていませんが、この問題によりサーバー上でコードが実行される可能性があります。
- CVE-2021-44224 - mod_proxy に SSRF (サーバー サイド リクエスト フォージェリ) の脆弱性があり、「ProxyRequests on」設定の構成で、特別に設計された URI のリクエストを通じて、同じ上の別のハンドラーへのリクエストのリダイレクトが可能になります。 Unix ドメイン ソケット経由で接続を受け入れるサーバー。この問題は、Null ポインター逆参照の条件を作成することでクラッシュを引き起こすために使用することもできます。この問題は、Apache httpd バージョン 2.4.7 以降のバージョンに影響します。
セキュリティ以外の最も注目すべき変更は次のとおりです。
- OpenSSL 3 ライブラリを使用したビルドのサポートが mod_ssl に追加されました。
- autoconf スクリプトでの OpenSSL ライブラリ検出が改善されました。
- mod_proxy では、トンネリング プロトコルの場合、「SetEnv proxy-nohalfclose」パラメータを設定することで、ハーフクローズ TCP 接続のリダイレクトを無効にすることができます。
- プロキシを目的としていない URI には http/https スキームが含まれており、プロキシを目的とした URI にはホスト名が含まれているかどうかの追加チェックが追加されました。
- mod_proxy_connect および mod_proxy では、ステータス コードがクライアントに送信された後に変更されることは許可されません。
- 「Expect: 100-Continue」ヘッダーを持つリクエストを受信した後に中間応答を送信する場合、結果がリクエストの現在のステータスではなく「100 Continue」のステータスを示していることを確認してください。
- mod_dav は、プロパティを生成するときにドキュメント要素とプロパティ要素の両方を考慮する必要がある CalDAV 拡張機能のサポートを追加します。他のモジュールから呼び出すことができる新しい関数 dav_validate_root_ns()、dav_find_child_ns()、dav_find_next_ns()、dav_find_attr_ns()、および dav_find_attr() が追加されました。
- mpm_event では、サーバー負荷の急増後にアイドル状態の子プロセスが停止される問題が解決されました。
- Mod_http2 では、MaxRequestsPerChild および MaxConnectionsPerChild の制限を処理するときに誤った動作を引き起こす回帰の変更が修正されました。
- ACME (自動証明書管理環境) プロトコルを使用して証明書の受信と保守を自動化するために使用される mod_md モジュールの機能が拡張されました。
- ACME 外部アカウント バインディング (EAB) メカニズムのサポートが追加されました。これは、MDExternalAccountBinding ディレクティブを使用して有効になります。 EAB の値は外部 JSON ファイルから構成できるため、メイン サーバー構成ファイルで認証パラメーターが公開されるのを回避できます。
- 「MDCertificateAuthority」ディレクティブは、URL パラメーターに http/https または事前定義された名前 (「LetsEncrypt」、「LetsEncrypt-Test」、「Buypass」、「Buypass-Test」) のいずれかが含まれていることを確認します。
- セクション内で MDContactEmail ディレクティブを指定できるようになりました。
- 秘密キーのロードに失敗したときに発生するメモリ リークなど、いくつかのバグが修正されました。
出所: オープンネット.ru