Ko te Apache HTTP server 2.4.52 kua tukuna, me te whakauru i nga huringa 25 me te whakakore i nga whakaraeraetanga e 2:
- Ko te CVE-2021-44790 he putunga putunga i roto i te mod_lua ka puta i te wa e porohi ana nga tono maha. Ko te whakaraeraetanga ka pa ki nga whirihoranga e kii ai nga tuhinga a Lua ki te mahi r:parsebody() ki te poroporoaki i te tinana tono, ka taea e te kaitukino te puhake i te putunga ma te tuku tono i hangaia motuhake. Kaore ano kia kitea he taunakitanga mo tetahi mahi, engari ko te raru ka arahi pea ki te whakatinana i tana waehere ki runga i te tūmau.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) whakaraeraetanga i roto i te mod_proxy, e taea ai, i roto i nga whirihoranga me te "ProxyRequests on" tautuhinga, na roto i te tono mo te URI i hangaia motuhake, ki te whakatutuki i te tono whakatika ki tetahi atu kaihautu i runga ano. tūmau e whakaae ana ki nga hononga ma te Unix Domain Socket. Ka taea hoki te whakamahi i te take ki te tukinga ma te hanga i nga tikanga mo te whakakore tohu tohu kore. Ka pa te take ki nga putanga o Apache httpd mai i te putanga 2.4.7.
Ko nga huringa kore-haumaru tino rongonui ko:
- He tautoko taapiri mo te hanga me te whare pukapuka OpenSSL 3 ki mod_ssl.
- Kua pai ake te rapunga whare pukapuka OpenSSL ki nga tuhinga autoconf.
- I roto i te mod_proxy, mo nga kawa tunneling, ka taea te whakakore i te whakawhitinga o nga hononga TCP haurua kati ma te tautuhi i te "SetEnv takawaenga-nohalfclose" tawhā.
- Kua taapirihia etahi atu arowhai kaore nga URI e kii ana mo te takawaenga kei roto te kaupapa http/https, ko nga mea hei takawaenga kei roto te ingoa kaihautu.
- Ko te mod_proxy_connect me te mod_proxy e kore e whakaae kia huri te waehere mana i muri i te tukunga atu ki te kiritaki.
- I te tuku urupare takawaenga i muri i te whiwhi tono me te pane "Timanakohia: 100-Haere tonu", me whakarite ko te hua ka tohu i te mana o "100 Haere tonu" kaua ki te mana o te tono o naianei.
- Ko te mod_dav he taapiri tautoko mo nga toronga CalDAV, me whai whakaaro nga huānga tuhinga me nga huānga rawa ina whakaputa rawa. Kua taapirihia nga mahi hou dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() me dav_find_attr(), ka taea te karanga mai i etahi atu waahanga.
- I roto i te mpm_event, kua whakatauhia te raru ki te aukati i nga mahi a te tamaiti mangere i muri i te pikinga o te uta o te tūmau.
- Kua whakatikahia e Mod_http2 nga huringa whakahekenga kua he te whanonga i te wa e whakahaere ana i nga here MaxRequestsPerChild me MaxConnectionsPerChild.
- Ko nga kaha o te waahanga mod_md, i whakamahia hei whakaaunoa i te whiwhinga me te tiaki i nga tiwhikete ma te whakamahi i te kawa ACME (Taiao Whakahaere Tiwhikete Aunoa), kua whakawhānuihia:
- He tautoko taapiri mo te tikanga ACME External Account Binding (EAB), ka taea ma te whakamahi i te tohutohu MDExternalAccountBinding. Ko nga uara mo te EAB ka taea te whirihora mai i tetahi konae JSON o waho, kia kore e kitea nga tawhā motuhēhēnga i te konae whirihoranga tūmau matua.
- Ko te tohutohu 'MDCertificateAuthority' ka whakarite kei roto i te tawhā URL te http/https tetahi ranei o nga ingoa kua tautuhia ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' me te 'Buypass-Test').
- Ka whakaaetia ki te tautuhi i te tohutohu MDContactEmail i roto i te waahanga .
- He maha nga pepeha kua whakatikahia, tae atu ki te pakaru mahara ka puta ina rahua te utaina o tetahi kii motuhake.
Source: opennet.ru