Apache HTTP serveris 2.4.52 ir izlaists, ieviešot 25 izmaiņas un novēršot 2 ievainojamības:
- CVE-2021-44790 ir mod_lua bufera pārpilde, kas rodas, parsējot vairāku daļu pieprasījumus. Ievainojamība ietekmē konfigurācijas, kurās Lua skripti izsauc funkciju r:parsebody(), lai parsētu pieprasījuma pamattekstu, ļaujot uzbrucējam izraisīt bufera pārpildīšanu, nosūtot īpaši izstrādātu pieprasījumu. Pagaidām nav konstatēti ekspluatācijas pierādījumi, taču problēma, iespējams, var izraisīt tā koda izpildi serverī.
- CVE-2021-44224 — mod_proxy SSRF (Server Side Request Forgery) ievainojamība, kas ļauj konfigurācijās ar iestatījumu “Starpniekservera pieprasījumi ieslēgti”, izmantojot īpaši izstrādāta URI pieprasījumu, panākt pieprasījuma pāradresāciju uz citu apdarinātāju tajā pašā serveris, kas pieņem savienojumus, izmantojot Unix domēna ligzdu. Problēmu var izmantot arī avārijas izraisīšanai, izveidojot nosacījumus nulles rādītāja novirzīšanai. Problēma skar Apache httpd versijas, sākot no versijas 2.4.7.
Ievērojamākās ar drošību nesaistītās izmaiņas:
- Mod_ssl ir pievienots atbalsts veidošanai ar OpenSSL 3 bibliotēku.
- Uzlabota OpenSSL bibliotēkas noteikšana autoconf skriptos.
- Programmā mod_proxy tunelēšanas protokoliem ir iespējams atspējot pusaizvērtu TCP savienojumu novirzīšanu, iestatot parametru “SetEnv proxy-nohalfclose”.
- Pievienotas papildu pārbaudes, vai URI, kas nav paredzēti starpniekserveram, satur http/https shēmu un tajos, kas paredzēti starpniekserveram, ir resursdatora nosaukums.
- mod_proxy_connect un mod_proxy neļauj mainīt statusa kodu pēc tam, kad tas ir nosūtīts klientam.
- Sūtot starpposma atbildes pēc pieprasījumu saņemšanas ar galveni "Expect: 100-Continue", pārliecinieties, vai rezultāts norāda statusu "100 Continue", nevis pašreizējais pieprasījuma statuss.
- mod_dav pievieno atbalstu CalDAV paplašinājumiem, kuriem, ģenerējot rekvizītu, ir jāņem vērā gan dokumenta elementi, gan rekvizītu elementi. Pievienotas jaunas funkcijas dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() un dav_find_attr(), kuras var izsaukt no citiem moduļiem.
- Programmā mpm_event ir atrisināta problēma ar dīkstāves pakārtoto procesu apturēšanu pēc servera slodzes pieauguma.
- Mod_http2 ir fiksētas regresijas izmaiņas, kas izraisīja nepareizu darbību, apstrādājot MaxRequestsPerChild un MaxConnectionsPerChild ierobežojumus.
- Moduļa mod_md iespējas, ko izmanto, lai automatizētu sertifikātu saņemšanu un uzturēšanu, izmantojot ACME (Automatic Certificate Management Environment) protokolu, ir paplašinātas:
- Pievienots atbalsts ACME ārējā konta saistīšanas (EAB) mehānismam, kas iespējots, izmantojot MDExternalAccountBinding direktīvu. EAB vērtības var konfigurēt no ārēja JSON faila, izvairoties no autentifikācijas parametru atklāšanas galvenajā servera konfigurācijas failā.
- Direktīva “MDCertificateAuthority” nodrošina, ka URL parametrā ir ietverts http/https vai kāds no iepriekš definētajiem nosaukumiem (“LetsEncrypt”, “LetsEncrypt-Test”, “Buypass” un “Buypass-Test”).
- Sadaļā atļauts norādīt MDContactEmail direktīvu .
- Ir novērstas vairākas kļūdas, tostarp atmiņas noplūde, kas rodas, ja privātās atslēgas ielāde neizdodas.
Avots: opennet.ru