Został wydany serwer Apache HTTP 2.4.52, wprowadzający 25 zmian i eliminujący 2 luki:
- CVE-2021-44790 to przepełnienie bufora w mod_lua, które występuje podczas analizowania żądań wieloczęściowych. Luka dotyczy konfiguracji, w których skrypty Lua wywołują funkcję r:parsebody() w celu przeanalizowania treści żądania, umożliwiając osobie atakującej spowodowanie przepełnienia bufora poprzez wysłanie specjalnie spreparowanego żądania. Nie zidentyfikowano jeszcze żadnych dowodów na istnienie exploita, ale problem może potencjalnie doprowadzić do wykonania jego kodu na serwerze.
- CVE-2021-44224 — Luka w zabezpieczeniach SSRF (Server Side Request Forgery) w mod_proxy, która umożliwia, w konfiguracjach z ustawieniem „ProxyRequests on”, poprzez żądanie o specjalnie zaprojektowany URI, uzyskanie przekierowania żądania do innego modułu obsługi na tym samym serwer, który akceptuje połączenia poprzez gniazdo domeny Unix. Problem można również wykorzystać do spowodowania awarii, tworząc warunki dla wyłuskania wskaźnika zerowego. Problem dotyczy wersji httpd Apache począwszy od wersji 2.4.7.
Najbardziej zauważalne zmiany niezwiązane z bezpieczeństwem:
- Dodano obsługę budowania przy użyciu biblioteki OpenSSL 3 do mod_ssl.
- Poprawione wykrywanie biblioteki OpenSSL w skryptach autoconf.
- W mod_proxy, dla protokołów tunelowania, możliwe jest wyłączenie przekierowania połączeń TCP typu half-close poprzez ustawienie parametru „SetEnv proxy-nohalfclose”.
- Dodano dodatkowe sprawdzenie, czy identyfikatory URI nieprzeznaczone do proxy zawierają schemat http/https, a te przeznaczone do proxy zawierają nazwę hosta.
- mod_proxy_connect i mod_proxy nie pozwalają na zmianę kodu statusu po jego wysłaniu do klienta.
- Wysyłając odpowiedzi pośrednie po otrzymaniu żądań z nagłówkiem „Oczekuj: 100-kontynuuj”, upewnij się, że wynik wskazuje stan „100 Kontynuuj”, a nie bieżący stan żądania.
- mod_dav dodaje obsługę rozszerzeń CalDAV, które wymagają uwzględnienia zarówno elementów dokumentu, jak i elementów właściwości podczas generowania właściwości. Dodano nowe funkcje dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() i dav_find_attr(), które można wywołać z innych modułów.
- W mpm_event rozwiązano problem zatrzymywania bezczynnych procesów potomnych po gwałtownym wzroście obciążenia serwera.
- Mod_http2 naprawiono zmiany regresji, które powodowały nieprawidłowe zachowanie podczas obsługi ograniczeń MaxRequestsPerChild i MaxConnectionsPerChild.
- Rozszerzono możliwości modułu mod_md służącego do automatyzacji odbioru i obsługi certyfikatów z wykorzystaniem protokołu ACME (Automatic Certyfikat Management Environment):
- Dodano obsługę mechanizmu powiązania konta zewnętrznego ACME (EAB), włączanego za pomocą dyrektywy MDExternalAccountBinding. Wartości dla EAB można skonfigurować z zewnętrznego pliku JSON, unikając ujawniania parametrów uwierzytelniania w głównym pliku konfiguracyjnym serwera.
- Dyrektywa „MDCertificateAuthority” zapewnia, że parametr adresu URL zawiera http/https lub jedną z predefiniowanych nazw („LetsEncrypt”, „LetsEncrypt-Test”, „Buypass” i „Buypass-Test”).
- Zezwolono na określenie dyrektywy MDContactEmail w sekcji .
- Naprawiono kilka błędów, w tym wyciek pamięci występujący w przypadku niepowodzenia ładowania klucza prywatnego.
Źródło: opennet.ru