ProHoster > Π‘Π»ΠΎΠ³ > interrete nuntium > Apache 2.4.52 http servo release cum mod_lua quiddam redundantia certum

Apache 2.4.52 http servo release cum mod_lua quiddam redundantia certum

Apache HTTP 2.4.52 dimissa est, 25 mutationes introducens et vulnerabilitates 2 eliminans;

  • CVE-2021-44790 quiddam est redundantia in mod_lua quae fit cum postulationibus multipartiti parsis. In vulnerabilitas afficit configurationes in quibus Lua scripta vocant r: parsebody() munus ad parse rogationis corpus, permittens impugnatorem ut quiddam redundantiam efficiat mittendo petitionem specialem fabricatam. Nulla indicia facinoris adhuc notata sunt, sed quaestio potentiam ducere potuit ad exsecutionem sui codicis in calculonis servi.
  • CVE-2021-44224 - SSRF (Servi latus Request Forgery) vulnerabilitas in mod_proxy, quod concedit, in conformationibus cum "ProxyRequestarum" occasu, per petitionem specialiter URI destinatam, ut petitionem ad alium tractum eodem attingat. Servo qui hospites accipit per Unix Domain Socket. Eventus adhiberi potest etiam ut fragorem moveat condiciones ad nullum monstratorem dereference. Exitus afficit versiones Apache httpd incipiens a versione 2.4.7.

Praecipuae mutationes securitatis non- sunt:

  • Adiecta subsidia aedificandi cum bibliotheca OpenSSL 3 ad mod_ssl.
  • Melioratus OpenSSL bibliotheca detectus in scriptorum autoconf.
  • In mod_proxy, cuniculis protocolla, potest inactivandi redirection of dimidiae proximae TCP nexus constituendo parametrum "SetEnv procuratorem-nohalfclose".
  • Additamenta additamenta quae URIs non destinati ad procurandum consilium http/http://la continet, et qui ad procurandum destinati nomen exercitum continent.
  • mod_proxy_connect et mod_proxy non permittunt codicem status mutare postquam missum ad clientem est.
  • Cum intermedia responsa mittens, acceptis precibus cum capite "Exspecta: 100-Perge" caput, ut eventus potius indicat statum "100 Perge" quam status praesentis petitionis.
  • mod_dav fulcimentum addit extensionibus CalDAV, quae tam elementa documenti quam elementa proprietatis requirit ratio habenda cum proprietatem generandi. Novas addidit functiones dav_find_attr(), dav_find_child_ns(), dav_find_next(), dav_find_attr() et dav_find_attr(), quae ex aliis modulis dici possunt.
  • In mpm_event, quaestio de processibus cessantibus puero otioso post solutionem oneris in calculo servo.
  • Mod_http2 regressionem fixam habet mutationes, quae mores rectos effecit cum restrictiones MaxRequestsPerChild et MaxConnectionsPerChild tractantes.
  • Facultates mod_md moduli, ad automatandam acceptilationem et sustentationem libellorum utentis ACME (Automatic Testimonialis Environment) protocolli, ampliatae sunt:
    • Auxilia addita pro ACME Rationis externae ligandi mechanismum (EAB), utens MDExternalAccountBinding directivum dedit. Valores pro EAB ab externo JSON configurari possunt, vitantes parametri authenticas exponentes in file configurationis principalis.
    • Auctoritas directiva efficit ut Domicilium parametri continere http/https vel unum e nominibus praefinitis ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' et 'Buypass-Test').
    • Liceat denotare directivam MDContactEmail intra sectionem .
    • Plures cimices fixi sunt, inclusa memoria Leak quae accidit cum onerandis clavis privatis deficit.

Source: opennet.ru