Pêşkêşkara Apache HTTP 2.4.52 hate berdan, 25 guhertin destnîşan dike û 2 qelsî ji holê radike:
- CVE-2021-44790 di mod_lua de zêdebûnek tampon e ku dema parkirina daxwazên pirbeş pêk tê. Qelsî bandorê li mîhengan dike ku tê de skrîptên Lua fonksiyona r:parsebody() vedixwîne da ku laşê daxwazê parsek bike, dihêle ku êrîşkar bi şandina daxwazek taybetî ya hatî çêkirin bibe sedema zêdebûna tamponê. Hîn delîlek îstismarek nehatiye nas kirin, lê pirsgirêk dibe ku bibe sedema pêkanîna koda wê li ser serverê.
- CVE-2021-44224 - SSRF (Selpkirina Daxwaza Server Side) di mod_proxy de, ku dihêle, di veavakirinên bi mîhenga "ProxyRequests li ser", bi navgîniya daxwazek ji bo URI-ya taybetî hatî sêwirandin, bigihîje beralîkirina daxwazek ji bo rêvekerek din li ser heman servera ku pêwendiyan bi riya Unix Domain Socket qebûl dike. Pirsgirêk di heman demê de dikare were bikar anîn da ku bi afirandina şert û mercên ji bo betalkirina nîşana betal bibe sedema têkçûnekê. Pirsgirêk bandor li guhertoyên Apache httpd dike ku ji guhertoya 2.4.7 dest pê dike.
Guhertinên ne-ewlehî yên herî berbiçav ev in:
- Piştgiriya avakirina bi pirtûkxaneya OpenSSL 3 ji mod_ssl re zêde kir.
- Naskirina pirtûkxaneya OpenSSL-ê di nivîsarên otoconf de çêtir kirin.
- Di mod_proxy de, ji bo protokolên tunekirinê, gengaz e ku bi danîna parametreya "SetEnv proxy-nohalfclose" verastkirina girêdanên TCP-ê yên nîv-girtî neçalak bikin.
- Kontrolên din lê zêde kirin ku URI ne ji bo proxykirinê nexşeya http/https dihewîne, û yên ku ji bo proxykirinê têne armanc kirin navê mêvandar dihewîne.
- mod_proxy_connect û mod_proxy nahêlin ku koda statûyê piştî ku ji xerîdar re hatî şandin biguhezîne.
- Dema ku piştî wergirtina daxwazan bi sernavê "Hêvî: 100-Bidomîne" bersivên navîn dişînin, ji bilî rewşa heyî ya daxwazê, pê ewle bin ku encam statûya "100 Berdewam" nîşan bide.
- mod_dav ji bo pêvekên CalDAV-ê piştgirî zêde dike, ku hewce dike ku hem hêmanên belgeyê û hem jî hêmanên taybetmendiyê dema ku milkek çêbike li ber çavan were girtin. Fonksiyonên nû dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () û dav_find_attr (), ku dikarin ji modulên din werin gazî kirin, zêde kirin.
- Di mpm_event de, pirsgirêka rawestandina pêvajoyên zarokan ên bêkar piştî ku zêdebûnek barkirina serverê çareser bû.
- Mod_http2 guheztinên regresyonê sabît kiriye ku dema ku bi sînorkirinên MaxRequestsPerChild û MaxConnectionsPerChild ve mijûl dibe sedema behremendiya xelet rast kiriye.
- Kapasîteyên modulê mod_md, ku ji bo otomatîkkirina wergirtin û domandina sertîfîkayan bi karanîna protokola ACME (Jîngeha Rêvebiriya Sertîfîkaya Xweser) tê bikar anîn, hatine berfireh kirin:
- Piştgiriya ji bo mekanîzmaya Binding Hesabê Derveyî ACME (EAB) zêde kir, ku bi karanîna rêwerza MDExternalAccountBinding ve hatî çalak kirin. Nirxên ji bo EAB-ê dikarin ji pelek JSON-ya derveyî werin mîheng kirin, ji ber eşkerekirina pîvanên rastkirinê di pelê veavakirina servera sereke de.
- Rêbernameya 'MDCertificateAuthority' piştrast dike ku parametreya URL-ê http/https an yek ji navên pêşwextkirî heye ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' û 'Buypass-Test').
- Destûr dide ku rêbernameya MDContactEmail di hundurê beşê de diyar bike .
- Gelek xeletî hatine rast kirin, di nav de lekeyek bîranînê ya ku dema barkirina mifteyek taybet têk diçe.
Source: opennet.ru