De Apache HTTP-server 2.4.52 is uitgebracht, waarbij 25 wijzigingen zijn geïntroduceerd en twee kwetsbaarheden zijn geëlimineerd:
- CVE-2021-44790 is een bufferoverflow in mod_lua die optreedt bij het parseren van verzoeken uit meerdere delen. Het beveiligingslek treft configuraties waarin Lua-scripts de functie r:parsebody() aanroepen om de hoofdtekst van het verzoek te parseren, waardoor een aanvaller een bufferoverloop kan veroorzaken door een speciaal vervaardigd verzoek te verzenden. Er is nog geen bewijs van een exploit gevonden, maar het probleem zou mogelijk kunnen leiden tot de uitvoering van de code op de server.
- CVE-2021-44224 - SSRF-kwetsbaarheid (Server Side Request Forgery) in mod_proxy, waardoor in configuraties met de instelling "ProxyRequests on" via een verzoek om een speciaal ontworpen URI een verzoekomleiding naar een andere handler op dezelfde kan worden bereikt server die verbindingen accepteert via een Unix Domain Socket. Het probleem kan ook worden gebruikt om een crash te veroorzaken door de voorwaarden te creëren voor een nul-pointer-dereferentie. Het probleem treft versies van Apache httpd vanaf versie 2.4.7.
De meest opvallende niet-beveiligingswijzigingen zijn:
- Ondersteuning toegevoegd voor het bouwen met de OpenSSL 3-bibliotheek naar mod_ssl.
- Verbeterde OpenSSL-bibliotheekdetectie in autoconf-scripts.
- In mod_proxy is het voor tunnelprotocollen mogelijk om de omleiding van half-close TCP-verbindingen uit te schakelen door de parameter “SetEnv proxy-nohalfclose” in te stellen.
- Extra controles toegevoegd dat URI's die niet bedoeld zijn voor proxying het http/https-schema bevatten, en dat URI's die bedoeld zijn voor proxying de hostnaam bevatten.
- mod_proxy_connect en mod_proxy staan niet toe dat de statuscode verandert nadat deze naar de client is verzonden.
- Wanneer u tussentijdse antwoorden verzendt na het ontvangen van verzoeken met de header 'Expect: 100-Continue', zorg er dan voor dat het resultaat de status '100 Continue' aangeeft in plaats van de huidige status van het verzoek.
- mod_dav voegt ondersteuning toe voor CalDAV-extensies, waarbij zowel documentelementen als eigenschapselementen in aanmerking moeten worden genomen bij het genereren van een eigenschap. Nieuwe functies dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() en dav_find_attr() toegevoegd, die vanuit andere modules kunnen worden aangeroepen.
- In mpm_event is het probleem met het stoppen van inactieve onderliggende processen na een piek in de serverbelasting opgelost.
- Mod_http2 heeft regressiewijzigingen opgelost die onjuist gedrag veroorzaakten bij het verwerken van MaxRequestsPerChild- en MaxConnectionsPerChild-beperkingen.
- De mogelijkheden van de mod_md-module, die wordt gebruikt om de ontvangst en het onderhoud van certificaten te automatiseren met behulp van het ACME-protocol (Automatic Certificate Management Environment), zijn uitgebreid:
- Ondersteuning toegevoegd voor het ACME External Account Binding (EAB)-mechanisme, ingeschakeld met behulp van de MDExternalAccountBinding-instructie. Waarden voor de EAB kunnen worden geconfigureerd vanuit een extern JSON-bestand, waardoor authenticatieparameters in het configuratiebestand van de hoofdserver worden vermeden.
- De 'MDCertificateAuthority'-richtlijn zorgt ervoor dat de URL-parameter http/https of een van de vooraf gedefinieerde namen bevat ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' en 'Buypass-Test').
- Toegestaan om de MDContactEmail-richtlijn op te geven in de sectie .
- Er zijn verschillende bugs opgelost, waaronder een geheugenlek dat optreedt wanneer het laden van een privésleutel mislukt.
Bron: opennet.ru