O servidor Apache HTTP 2.4.52 foi lançado, introduzindo 25 alterações e eliminando 2 vulnerabilidades:
- CVE-2021-44790 é um buffer overflow em mod_lua que ocorre ao analisar solicitações multipartes. A vulnerabilidade afeta configurações nas quais os scripts Lua chamam a função r:parsebody() para analisar o corpo da solicitação, permitindo que um invasor cause um buffer overflow ao enviar uma solicitação especialmente criada. Nenhuma evidência de exploração foi identificada ainda, mas o problema pode levar à execução de seu código no servidor.
- CVE-2021-44224 - Vulnerabilidade SSRF (Server Side Request Forgery) no mod_proxy, que permite, em configurações com a configuração “ProxyRequests on”, através de uma solicitação de um URI especialmente projetado, conseguir um redirecionamento de solicitação para outro manipulador no mesmo servidor que aceita conexões através de um soquete de domínio Unix. O problema também pode ser usado para causar uma falha, criando as condições para uma desreferência de ponteiro nulo. O problema afeta versões do Apache httpd a partir da versão 2.4.7.
As alterações não relacionadas à segurança mais notáveis são:
- Adicionado suporte para construção com a biblioteca OpenSSL 3 ao mod_ssl.
- Detecção aprimorada de biblioteca OpenSSL em scripts autoconf.
- No mod_proxy, para protocolos de tunelamento, é possível desabilitar o redirecionamento de conexões TCP semi-fechadas definindo o parâmetro “SetEnv proxy-nohalfclose”.
- Adicionadas verificações adicionais de que URIs não destinados ao proxy contêm o esquema http/https e aqueles destinados ao proxy contêm o nome do host.
- mod_proxy_connect e mod_proxy não permitem que o código de status seja alterado após ter sido enviado ao cliente.
- Ao enviar respostas intermediárias após receber solicitações com o cabeçalho "Expect: 100-Continue", certifique-se de que o resultado indique o status "100 Continue" em vez do status atual da solicitação.
- mod_dav adiciona suporte para extensões CalDAV, que exigem que elementos de documento e elementos de propriedade sejam levados em consideração ao gerar uma propriedade. Adicionadas novas funções dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() e dav_find_attr(), que podem ser chamadas de outros módulos.
- Em mpm_event, o problema com a interrupção de processos filhos ociosos após um aumento repentino na carga do servidor foi resolvido.
- Mod_http2 corrigiu alterações de regressão que causavam comportamento incorreto ao lidar com restrições MaxRequestsPerChild e MaxConnectionsPerChild.
- As capacidades do módulo mod_md, usado para automatizar o recebimento e manutenção de certificados usando o protocolo ACME (Automatic Certificate Management Environment), foram ampliadas:
- Adicionado suporte para o mecanismo ACME External Account Binding (EAB), habilitado usando a diretiva MDExternalAccountBinding. Os valores do EAB podem ser configurados a partir de um arquivo JSON externo, evitando a exposição de parâmetros de autenticação no arquivo de configuração do servidor principal.
- A diretiva 'MDCertificateAuthority' garante que o parâmetro URL contenha http/https ou um dos nomes predefinidos ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' e 'Buypass-Test').
- Permitido especificar a diretiva MDContactEmail dentro da seção .
- Vários bugs foram corrigidos, incluindo um vazamento de memória que ocorre quando o carregamento de uma chave privada falha.
Fonte: opennet.ru