Apache HTTP сервер 2.4.52 гарсан бөгөөд 25 өөрчлөлт оруулж, 2 эмзэг байдлыг арилгасан:
- CVE-2021-44790 нь mod_lua доторх буфер халилт бөгөөд олон хэсэгт хүсэлтийг задлан шинжилж байх үед үүсдэг. Энэ эмзэг байдал нь Lua скриптүүд хүсэлтийн биетийг задлан шинжлэхийн тулд r:parsebody() функцийг дууддаг тохиргоонд нөлөөлж, халдагчид тусгайлан боловсруулсан хүсэлтийг илгээснээр буферийн хэт ачаалал үүсгэх боломжийг олгодог. Ашиглалтын нотолгоо хараахан тогтоогдоогүй байгаа ч асуудал нь сервер дээр кодыг нь ажиллуулахад хүргэж болзошгүй юм.
- CVE-2021-44224 - mod_proxy дахь SSRF (Серверийн талын хүсэлтийг хуурамчаар үйлдэх) эмзэг байдал нь "ProxyRequests on" тохиргоотой тохиргоонд тусгайлан боловсруулсан URI хүсэлтээр дамжуулан хүсэлтийг өөр зохицуулагч руу дахин чиглүүлэх боломжийг олгодог. Unix Domain Socket-ээр дамжуулан холболтыг хүлээн авдаг сервер. Асуудлыг мөн хоосон заагчаас татгалзах нөхцөлийг бий болгосноор эвдрэл үүсгэхэд ашиглаж болно. Асуудал нь 2.4.7 хувилбараас эхлэн Apache httpd хувилбаруудад нөлөөлж байна.
Аюулгүй байдлын хамгийн чухал бус өөрчлөлтүүд нь:
- mod_ssl-д OpenSSL 3 номын сантай ажиллахад дэмжлэг нэмсэн.
- Autoconf скрипт дэх OpenSSL номын сангийн илрүүлэлтийг сайжруулсан.
- mod_proxy-д туннелийн протоколын хувьд "SetEnv proxy-nohalfclose" параметрийг тохируулснаар хагас хаалттай TCP холболтыг дахин чиглүүлэхийг идэвхгүй болгох боломжтой.
- Прокси хийхэд зориулагдаагүй URI-д http/https схем, прокси хийх зориулалттай нь хост нэрийг агуулж байгаа эсэхийг шалгах нэмэлт шалгалтуудыг нэмсэн.
- mod_proxy_connect болон mod_proxy нь үйлчлүүлэгч рүү илгээсний дараа статус кодыг өөрчлөхийг зөвшөөрдөггүй.
- "Хүлээж байна: 100-Үргэлжлүүлэх" толгойтой хүсэлтийг хүлээн авсны дараа завсрын хариултуудыг илгээхдээ үр дүн нь хүсэлтийн одоогийн статусаас илүү "100 Үргэлжлүүлэх" төлөвийг зааж байгаа эсэхийг шалгаарай.
- mod_dav нь CalDAV өргөтгөлүүдийн дэмжлэгийг нэмдэг бөгөөд энэ нь өмч үүсгэх үед баримт бичгийн элементүүд болон өмчийн элементүүдийг хоёуланг нь харгалзан үзэхийг шаарддаг. Бусад модулиудаас дуудаж болох dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() болон dav_find_attr() шинэ функцүүдийг нэмсэн.
- mpm_event дээр серверийн ачаалал ихэссэний дараа сул зогсолттой хүүхдийн процессыг зогсоох асуудал шийдэгдсэн.
- Mod_http2 нь MaxRequestsPerChild болон MaxConnectionsPerChild хязгаарлалттай ажиллах үед буруу үйлдэл үүсгэсэн регрессийн өөрчлөлтийг зассан.
- ACME (Automatic Certificate Management Environment) протоколыг ашиглан гэрчилгээг хүлээн авах, засвар үйлчилгээ хийхэд ашигладаг mod_md модулийн чадавхийг өргөжүүлсэн.
- MDExternalAccountBinding удирдамжийг ашиглан идэвхжүүлсэн ACME External Account Binding (EAB) механизмын дэмжлэгийг нэмсэн. EAB-д зориулсан утгыг серверийн тохиргооны үндсэн файлд таниулах параметрүүдийг ил гаргахаас сэргийлж гадаад JSON файлаас тохируулж болно.
- 'MDCertificateAuthority' заавар нь URL параметр нь http/https эсвэл урьдчилан тодорхойлсон нэрүүдийн аль нэгийг ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' болон 'Buypass-Test') агуулсан байхыг баталгаажуулдаг.
- Хэсэг доторх MDContactEmail удирдамжийг зааж өгөхийг зөвшөөрсөн .
- Хувийн түлхүүрийг ачаалах үед тохиолддог санах ойн алдагдал зэрэг хэд хэдэн алдааг зассан.
Эх сурвалж: opennet.ru