Foi publicada a versão do servidor Apache HTTP 2.4.48 (a versão 2.4.47 foi ignorada), que introduz 39 alterações e elimina 8 vulnerabilidades:
- CVE-2021-30641 – falha na ignição da seção no modo 'MergeSlashes OFF';
- CVE-2020-35452 – Estouro de pilha de byte nulo único em mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - Desreferências de ponteiro NULL em mod_http2, mod_session e mod_proxy_http;
- CVE-2020-13938 – Possibilidade de parar o processo httpd por um usuário sem privilégios no Windows;
- CVE-2019-17567 – Problemas de negociação de protocolo em mod_proxy_wstunnel e mod_proxy_http.
As alterações não relacionadas à segurança mais notáveis são:
- Adicionada configuração ProxyWebsocketFallbackToProxyHttp ao mod_proxy_wstunnel para desabilitar a transição para o uso de mod_proxy_http para WebSocket.
- A API do servidor principal inclui funções relacionadas a SSL que agora estão disponíveis sem o módulo mod_ssl (por exemplo, permitindo que o módulo mod_md forneça chaves e certificados).
- O processamento de respostas OCSP (Online Certificate Status Protocol) foi movido de mod_ssl/mod_md para a parte base, o que permite que outros módulos acessem dados OCSP e gerem respostas OCSP.
- mod_md permite o uso de máscaras na diretiva MDomains, por exemplo, "MDomain *.host.net". A diretiva MDPrivateKeys permite especificar diferentes tipos de chaves, por exemplo “MDPrivateKeys secp384r1 rsa2048” permite o uso de certificados ECDSA e RSA. Foi fornecido suporte para o protocolo legado ACMEv1.
- Adicionado suporte para Lua 5.4 ao mod_lua.
- Versão atualizada do módulo mod_http2. Tratamento de erros aprimorado. Adicionada opção 'H2OutputBuffering on/off' para controlar o buffer de saída (habilitado por padrão).
- A diretiva mod_dav_FileETag implementa o modo “Digest” para gerar uma ETag baseada em um hash do conteúdo do arquivo.
- mod_proxy permite limitar o uso de ProxyErrorOverride a códigos de status específicos.
- Novas diretivas ReadBufferSize, FlushMaxThreshold e FlushMaxPipelined foram implementadas.
- mod_rewrite implementa o processamento do atributo SameSite ao analisar o sinalizador [CO] (cookie) na diretiva RewriteRule.
- Adicionado gancho check_trans ao mod_proxy para rejeitar solicitações em um estágio inicial.
Fonte: opennet.ru