Apache HTTP сервери 2.4.52 чыгарылды, 25 өзгөртүү киргизип, 2 алсыздыкты жок кылды:
- CVE-2021-44790 - бул mod_lua ичиндеги буфердин толуп кетиши, ал көп бөлүктүү сурамдарды талдоодо пайда болот. Алсыздык Луа скрипттери r:parsebody() функциясын сурамдын негизги бөлүгүн талдоо үчүн чакырган конфигурацияларга таасирин тийгизет, бул чабуулчуга атайын иштелип чыккан суроо-талапты жөнөтүү аркылуу буфердин толуп кетишине жол ачат. Эксплуатациянын эч кандай далили азырынча аныктала элек, бирок көйгөй серверде анын кодунун аткарылышына алып келиши мүмкүн.
- CVE-2021-44224 - mod_proxy ичиндеги SSRF (Сервер тараптын өтүнүчүн жасалмалоо) аялуулугу, ал "ProxyRequests on" жөндөөлөрү менен конфигурацияларда, атайын иштелип чыккан URI өтүнүчү аркылуу ошол эле жерде башка иштеткичке суроо-талапты кайра багыттоого жетишүүгө мүмкүндүк берет. Unix Domain Socket аркылуу байланыштарды кабыл алган сервер. Маселе ошондой эле нөлдүк көрсөткүчтү жокко чыгаруу үчүн шарттарды түзүү менен кыйроого себеп болушу үчүн колдонулушу мүмкүн. Маселе 2.4.7 версиясынан баштап Apache httpd версияларына таасирин тийгизет.
Эң көрүнүктүү коопсуздук эмес өзгөрүүлөр:
- mod_ssl үчүн OpenSSL 3 китепканасы менен курууга колдоо кошулду.
- Autoconf скрипттеринде жакшыртылган OpenSSL китепканасын аныктоо.
- mod_proxyде туннелдик протоколдор үчүн "SetEnv proxy-nohalfclose" параметрин коюу менен жарым-жартылай жабык TCP байланыштарын кайра багыттоону өчүрүүгө болот.
- Кошумча текшерүүлөр, прокси үчүн арналбаган URI'лар http/https схемасын, ал эми проксисингге арналгандары хосттун аталышын камтыйт.
- mod_proxy_connect жана mod_proxy кардарга жөнөтүлгөндөн кийин абал кодун өзгөртүүгө жол бербейт.
- "Күтүү: 100-Улантуу" аталышы менен суроо-талаптарды алгандан кийин аралык жоопторду жөнөтүүдө, натыйжа суроо-талаптын учурдагы абалын эмес, "100 Улантуу" статусун көрсөтүүсүн камсыз кылыңыз.
- mod_dav CalDAV кеңейтүүлөрүн колдоону кошот, алар документтин элементтерин да, мулк элементтерин да сыпатты жаратууда эске алууну талап кылат. Кошулган жаңы функциялар dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() жана dav_find_attr(), аларды башка модулдардан чакырса болот.
- mpm_event ичинде сервердин жүктөмү көбөйгөндөн кийин иштебей турган бала процесстерин токтотуу маселеси чечилди.
- Mod_http2 MaxRequestsPerChild жана MaxConnectionsPerChild чектөөлөрүн иштетүүдө туура эмес жүрүм-турумду пайда кылган регрессиялык өзгөрүүлөрдү аныктады.
- ACME (Automatic Certificate Management Environment) протоколун колдонуу менен сертификаттарды алууну жана тейлөөнү автоматташтыруу үчүн колдонулган mod_md модулунун мүмкүнчүлүктөрү кеңейтилген:
- MDExternalAccountBinding директивасын колдонуу менен иштетилген ACME External Account Binding (EAB) механизми үчүн кошумча колдоо. EAB үчүн маанилерди тышкы JSON файлынан конфигурациялоого болот, бул сервердин негизги конфигурация файлында аутентификациянын параметрлерин ачыкка чыгарбоо.
- 'MDCertificateAuthority' директивасы URL параметринде http/https же алдын ала аныкталган аттардын бири болушун камсыздайт ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' жана 'Buypass-Test').
- Бөлүмдүн ичинде MDContactEmail директивасын көрсөтүүгө уруксат берилет .
- Бир нече мүчүлүштүктөр оңдолду, анын ичинде купуя ачкыч жүктөлбөй калганда пайда болгон эс тутумдун агып кетиши.
Source: opennet.ru