Објавен е серверот Apache HTTP 2.4.52, воведувајќи 25 промени и елиминирајќи 2 пропусти:
- CVE-2021-44790 е прелевање на баферот во mod_lua што се појавува при парсирање на барањата за повеќе делови. Ранливоста влијае на конфигурациите во кои скриптите Lua ја повикуваат функцијата r:parsebody() за да го анализира телото на барањето, дозволувајќи му на напаѓачот да предизвика прелевање на баферот со испраќање специјално изработено барање. Сè уште не е идентификуван доказ за експлоатација, но проблемот потенцијално може да доведе до извршување на неговиот код на серверот.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) ранливост во mod_proxy, што овозможува, во конфигурации со поставката „ProxyRequests on“, преку барање за специјално дизајниран URI, да се постигне пренасочување на барање до друг управувач на истиот сервер кој прифаќа врски преку Unix Domain Socket. Проблемот, исто така, може да се користи за да предизвика пад со создавање услови за дереференција на нула покажувач. Проблемот влијае на верзиите на Apache httpd почнувајќи од верзијата 2.4.7.
Најзабележителни небезбедни промени се:
- Додадена е поддршка за градење со библиотеката OpenSSL 3 на mod_ssl.
- Подобрено откривање библиотека OpenSSL во скрипти за автоматско конфигурирање.
- Во mod_proxy, за протоколи за тунелирање, можно е да се оневозможи пренасочување на полузатворени TCP врски со поставување на параметарот „SetEnv proxy-nohalfclose“.
- Додадени дополнителни проверки дека URI-те кои не се наменети за прокси ја содржат шемата http/https, а оние наменети за прокси го содржат името на домаќинот.
- mod_proxy_connect и mod_proxy не дозволуваат статусната шифра да се менува откако ќе биде испратена до клиентот.
- Кога испраќате средни одговори по добивањето барања со заглавието „Очекувајте: 100-Продолжи“, уверете се дека резултатот го означува статусот „100 Продолжи“ наместо тековниот статус на барањето.
- mod_dav додава поддршка за наставките CalDAV, кои бараат да се земат предвид и елементите на документот и елементите на својството при генерирање на својство. Додадени се нови функции dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() и dav_find_attr(), кои може да се повикаат од други модули.
- Во mpm_event, проблемот со запирање на неактивен дете процеси по напливот на оптоварување на серверот е решен.
- Mod_http2 ги поправи промените во регресијата што предизвикаа неправилно однесување при ракување со ограничувањата MaxRequestsPerChild и MaxConnectionsPerChild.
- Проширени се можностите на модулот mod_md, кој се користи за автоматизирање на примањето и одржувањето на сертификатите со помош на протоколот ACME (Automatic Certificate Management Environment):
- Додадена е поддршка за механизмот ACME External Account Binding (EAB), овозможен со помош на директивата MDExternalAccountBinding. Вредностите за EAB може да се конфигурираат од надворешна JSON-датотека, избегнувајќи изложување на параметрите за автентикација во конфигурациската датотека на главниот сервер.
- Директивата „MDCertificateAuthority“ осигурува дека параметарот на URL содржи http/https или едно од претходно дефинираните имиња („LetsEncrypt“, „LetsEncrypt-Test“, „Buypass“ и „Buypass-Test“).
- Дозволено е да се специфицира директивата MDContactEmail внатре во делот .
- Поправени се неколку грешки, вклучително и истекување на меморијата што се случува кога вчитувањето на приватниот клуч не успее.
Извор: opennet.ru