Apache http 서버 2.4.48 출시

Apache HTTP 서버 2.4.48 릴리스가 게시되었습니다(릴리스 2.4.47은 건너뛰었습니다). 이는 39가지 변경 사항을 도입하고 8가지 취약점을 제거합니다.

• CVE-2021-30641 - 섹션 불발 'MergeSlashes OFF' 모드에서;
• CVE-2020-35452 - mod_auth_digest의 단일 null 바이트 스택 오버플로;
• CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - mod_http2, mod_session 및 mod_proxy_http의 NULL 포인터 역참조;
• CVE-2020-13938 - Windows에서 권한이 없는 사용자가 httpd 프로세스를 중지할 가능성;
• CVE-2019-17567 - mod_proxy_wstunnel 및 mod_proxy_http의 프로토콜 협상 문제입니다.

가장 주목할만한 비보안 변경 사항은 다음과 같습니다.

• WebSocket에 대해 mod_proxy_http 사용으로의 전환을 비활성화하기 위해 Mod_proxy_wstunnel에 ProxyWebsocketFallbackToProxyHttp 설정을 추가했습니다.
• 핵심 서버 API에는 이제 mod_ssl 모듈 없이 사용할 수 있는 SSL 관련 기능이 포함되어 있습니다(예: mod_md 모듈이 키와 인증서를 제공하도록 허용).
• OCSP(온라인 인증서 상태 프로토콜) 응답 처리가 mod_ssl/mod_md에서 기본 부분으로 이동되어 다른 모듈이 OCSP 데이터에 액세스하고 OCSP 응답을 생성할 수 있습니다.
• mod_md를 사용하면 MDomains 지시문에 마스크를 사용할 수 있습니다(예: "MDomain *.host.net"). MDPrivateKeys 지시문을 사용하면 다양한 유형의 키를 지정할 수 있습니다. 예를 들어 "MDPrivateKeys secp384r1 rsa2048"을 사용하면 ECDSA 및 RSA 인증서를 사용할 수 있습니다. 레거시 ACMEv1 프로토콜에 대한 지원이 제공되었습니다.
• mod_lua에 Lua 5.4에 대한 지원이 추가되었습니다.
• mod_http2 모듈의 업데이트된 버전입니다. 오류 처리가 개선되었습니다. 출력 버퍼링을 제어하기 위해 'H2OutputBuffering on/off' 옵션을 추가했습니다(기본적으로 활성화되어 있음).
• mod_dav_FileETag 지시문은 파일 내용의 해시를 기반으로 ETag를 생성하기 위해 "다이제스트" 모드를 구현합니다.
• mod_proxy를 사용하면 ProxyErrorOverride의 사용을 특정 상태 코드로 제한할 수 있습니다.
• 새로운 지시문 ReadBufferSize, FlushMaxThreshold 및 FlushMaxPipelined가 구현되었습니다.
• mod_rewrite는 RewriteRule 지시문에서 [CO](쿠키) 플래그를 구문 분석할 때 SameSite 속성 처리를 구현합니다.
• 초기 단계에서 요청을 거부하기 위해 mod_proxy에 check_trans 후크를 추가했습니다.

출처 : opennet.ru