De release van de Apache HTTP-server 2.4.48 is gepubliceerd (release 2.4.47 is overgeslagen), die 39 wijzigingen introduceert en 8 kwetsbaarheden elimineert:
- CVE-2021-30641 – onjuiste werking van de sectie in de modus ‘MergeSlashes OFF’;
- CVE-2020-35452 - Stapeloverflow van enkele nulbytes in mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - NULL pointer-dereferenties in mod_http2, mod_session en mod_proxy_http;
- CVE-2020-13938 - Mogelijkheid om het httpd-proces te stoppen door een gebruiker zonder rechten op Windows;
- CVE-2019-17567 - Protocolonderhandelingsproblemen in mod_proxy_wstunnel en mod_proxy_http.
De meest opvallende niet-beveiligingswijzigingen zijn:
- De ProxyWebsocketFallbackToProxyHttp-instelling is toegevoegd aan mod_proxy_wstunnel om de overgang naar het gebruik van mod_proxy_http voor WebSocket uit te schakelen.
- De kernserver-API bevat SSL-gerelateerde functies die nu beschikbaar zijn zonder de mod_ssl-module (waardoor de mod_md-module bijvoorbeeld sleutels en certificaten kan leveren).
- De verwerking van OCSP-reacties (Online Certificate Status Protocol) is verplaatst van mod_ssl/mod_md naar het basisgedeelte, waardoor andere modules toegang krijgen tot OCSP-gegevens en OCSP-reacties kunnen genereren.
- mod_md staat het gebruik van maskers toe in de MDomains-richtlijn, bijvoorbeeld "MDomain *.host.net". De MDPrivateKeys-richtlijn maakt het specificeren van verschillende soorten sleutels mogelijk, bijvoorbeeld "MDPrivateKeys secp384r1 rsa2048" staat het gebruik van ECDSA- en RSA-certificaten toe. Er is ondersteuning geboden voor het oudere ACMEv1-protocol.
- Ondersteuning voor Lua 5.4 toegevoegd aan mod_lua.
- Bijgewerkte versie van de mod_http2-module. Verbeterde foutafhandeling. Optie 'H2OutputBuffering aan/uit' toegevoegd om uitvoerbuffering te regelen (standaard ingeschakeld).
- De mod_dav_FileETag-richtlijn implementeert de “Digest”-modus om een ETag te genereren op basis van een hash van de bestandsinhoud.
- Met mod_proxy kunt u het gebruik van ProxyErrorOverride beperken tot specifieke statuscodes.
- Nieuwe richtlijnen ReadBufferSize, FlushMaxThreshold en FlushMaxPipelined zijn geïmplementeerd.
- mod_rewrite implementeert de verwerking van het SameSite-attribuut bij het parseren van de vlag [CO] (cookie) in de RewriteRule-richtlijn.
- Check_trans hook toegevoegd aan mod_proxy om verzoeken in een vroeg stadium af te wijzen.
Bron: opennet.ru