Bolo zverejnené vydanie Apache HTTP servera 2.4.48 (vydanie 2.4.47 bolo preskočené), ktoré prináša 39 zmien a odstraňuje 8 zraniteľností:
- CVE-2021-30641 – nesprávna činnosť sekcie v režime ‘MergeSlashes OFF’;
- CVE-2020-35452 - Pretečenie zásobníka jedného nulového bajtu v mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - dereferences NULL ukazovateľa v mod_http2, mod_session a mod_proxy_http;
- CVE-2020-13938 - Možnosť zastavenia procesu httpd neprivilegovaným používateľom v systéme Windows;
- CVE-2019-17567 – Problémy s vyjednávaním protokolu v mod_proxy_wstunnel a mod_proxy_http.
Najvýznamnejšie zmeny nesúvisiace so zabezpečením:
- Pridané nastavenie ProxyWebsocketFallbackToProxyHttp do mod_proxy_wstunnel na zakázanie prechodu na používanie mod_proxy_http pre WebSocket.
- Základné API servera obsahuje funkcie súvisiace s SSL, ktoré sú teraz dostupné bez modulu mod_ssl (napríklad umožňujú modulu mod_md poskytovať kľúče a certifikáty).
- Spracovanie odpovedí OCSP (Online Certificate Status Protocol) bolo presunuté z mod_ssl/mod_md do základnej časti, ktorá umožňuje ostatným modulom pristupovať k dátam OCSP a generovať odpovede OCSP.
- mod_md umožňuje použitie masiek v direktíve MDomains, napríklad "MDomain *.host.net". Direktíva MDPrivateKeys umožňuje špecifikovať rôzne typy kľúčov, napríklad „MDPrivateKeys secp384r1 rsa2048“ umožňuje používanie certifikátov ECDSA a RSA. Bola poskytnutá podpora pre starý protokol ACMEv1.
- Do mod_lua bola pridaná podpora pre Lua 5.4.
- Aktualizovaná verzia modulu mod_http2. Vylepšené spracovanie chýb. Pridaná možnosť „H2OutputBuffering on/off“ na ovládanie výstupnej vyrovnávacej pamäte (v predvolenom nastavení povolená).
- Direktíva mod_dav_FileETag implementuje režim „Digest“ na generovanie ETag na základe hashu obsahu súboru.
- mod_proxy vám umožňuje obmedziť použitie ProxyErrorOverride na konkrétne stavové kódy.
- Boli implementované nové direktívy ReadBufferSize, FlushMaxThreshold a FlushMaxPipelined.
- mod_rewrite implementuje spracovanie atribútu SameSite pri analýze príznaku [CO] (cookie) v direktíve RewriteRule.
- Do mod_proxy bol pridaný háčik check_trans na odmietnutie požiadaviek v počiatočnom štádiu.
Zdroj: opennet.ru