Apache HTTP сервері 2.4.52 шығарылды, 25 өзгерту енгізілді және екі осалдықты түзетеді:
- CVE-2021-44790 - көп бөлікті сұраныстарды талдау кезінде пайда болатын mod_lua ішіндегі буфердің толып кетуі. Осалдық Lua скрипттері сұраныстың негізгі бөлігін талдау үшін r:parsebody() функциясын шақыратын конфигурацияларға әсер етеді, бұл шабуылдаушыға арнайы жасалған сұранысты жіберу арқылы буфердің толып кетуін тудыруға мүмкіндік береді. Әзірге ешқандай эксплойттар анықталған жоқ, бірақ мәселе кодтың орындалуына әкелуі мүмкін. сервер.
- CVE-2021-44224 — mod_proxy жүйесіндегі серверлік сұрауды қолдан жасау (SSRF) осалдығы. "ProxyRequests on" параметрі бар конфигурацияларда арнайы жасалған URI сұрауды Unix Domain Socket арқылы қосылымдарды қабылдайтын сол сервердегі басқа өңдеушіге қайта бағыттау үшін пайдалануға болады. Бұл осалдықты нөлдік көрсеткіш сілтемесін жасау арқылы апатқа әкелуі үшін де пайдалануға болады. Бұл осалдық Apache httpd 2.4.7 және одан кейінгі нұсқаларына әсер етеді.
Қауіпсіздікке жатпайтын ең маңызды өзгерістер:
- mod_ssl файлына OpenSSL 3 кітапханасымен құруға қолдау қосылды.
- Autoconf сценарийлерінде жақсартылған OpenSSL кітапханасын анықтау.
- mod_proxy ішінде туннельдеу протоколдары үшін жартылай жабық TCP қосылымдарының қайта бағытталуын өшіру мүмкіндігі "SetEnv proxy-nohalfclose" параметрін орнату арқылы қамтамасыз етіледі.
- Проксиге жіберуге арналмаған URI мекенжайларында http/https схемасы, ал проксиге жіберуге арналғандарда хост атауы бар екеніне көз жеткізу үшін қосымша тексерулер қосылды.
- mod_proxy_connect және mod_proxy клиентке жіберілгеннен кейін күй кодын өзгертуге тыйым салады.
- "Күту: 100-Жалғастыру" тақырыбымен сұрауларды алғаннан кейін аралық жауаптарды жіберу кезінде нәтиже күйі сұраудың ағымдағы күйіне емес, енді "100 Жалғастыруға" орнатылады.
- Mod_dav енді сипатты жасау кезінде құжат элементтерін де, сипат элементтерін де ескеруді талап ететін CalDAV кеңейтімдерін қолдайды. Жаңа функциялар қосылды: dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() және dav_find_attr(), оларды басқа модульдерден шақыруға болады.
- mpm_event бағдарламасында сервер жүктемесінің жоғарылауынан кейін әрекетсіз еншілес процестерді тоқтату мәселесі шешілді.
- Mod_http2 MaxRequestsPerChild және MaxConnectionsPerChild шектеулерін өңдеу кезінде қате әрекетті тудырған регрессия өзгерісін түзетті.
- ACME (Automatic Certificate Management Environment) хаттамасын пайдалана отырып, сертификаттарды алуды және техникалық қызмет көрсетуді автоматтандыру үшін пайдаланылатын mod_md модулінің мүмкіндіктері кеңейтілді:
- MDExternalAccountBinding директивасын пайдаланып қосылған ACME сыртқы тіркелгісін байланыстыру (EAB) механизміне қолдау қосылды. EAB мәндерін сыртқы JSON файлынан конфигурациялауға болады, бұл негізгі файлда аутентификация параметрлерін көрсету қажеттілігін жояды. сервер конфигурациялары.
- 'MDCertificateAuthority' директивасы енді URL параметрінің http/https немесе алдын ала анықталған атаулардың бірін ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' және 'Buypass-Test') көрсететінін тексереді.
- Бөлім ішінде MDContactEmail директивасын көрсетуге рұқсат етіледі .
- Жеке кілтті жүктеу сәтсіз болған кезде орын алуы мүмкін жадтың ағып кетуін қоса, бірнеше қателер түзетілді.
Ақпарат көзі: opennet.ru
