Bol vydaný server Apache HTTP 2.4.52, ktorý predstavuje 25 zmien a odstraňuje 2 chyby zabezpečenia:
- CVE-2021-44790 je pretečenie vyrovnávacej pamäte v mod_lua, ku ktorému dochádza pri analýze viacdielnych požiadaviek. Zraniteľnosť ovplyvňuje konfigurácie, v ktorých skripty Lua volajú funkciu r:parsebody() na analýzu tela požiadavky, čo umožňuje útočníkovi spôsobiť pretečenie vyrovnávacej pamäte odoslaním špeciálne pripravenej požiadavky. Zatiaľ nebol identifikovaný žiadny dôkaz o zneužití, ale problém môže potenciálne viesť k spusteniu jeho kódu na serveri.
- CVE-2021-44224 – Zraniteľnosť SSRF (Server Side Request Forgery) v mod_proxy, ktorá umožňuje v konfiguráciách s nastavením „ProxyRequests on“ prostredníctvom požiadavky na špeciálne navrhnuté URI dosiahnuť presmerovanie požiadavky na iný obslužný program na rovnakom server, ktorý prijíma pripojenia cez Unix Domain Socket. Problém možno použiť aj na spôsobenie zlyhania vytvorením podmienok pre dereferenciu nulového ukazovateľa. Problém sa týka verzií Apache httpd od verzie 2.4.7.
Najvýznamnejšie zmeny nesúvisiace so zabezpečením:
- Do mod_ssl bola pridaná podpora pre vytváranie s knižnicou OpenSSL 3.
- Vylepšená detekcia knižnice OpenSSL v skriptoch autoconf.
- V mod_proxy, pre tunelovacie protokoly, je možné zakázať presmerovanie polozatvorených TCP spojení nastavením parametra „SetEnv proxy-nohalfclose“.
- Pridané ďalšie kontroly, či URI, ktoré nie sú určené na proxy, obsahujú schému http/https a tie, ktoré sú určené na proxy, obsahujú názov hostiteľa.
- mod_proxy_connect a mod_proxy neumožňujú zmenu stavového kódu po jeho odoslaní klientovi.
- Pri odosielaní prechodných odpovedí po prijatí požiadaviek s hlavičkou "Očakávať: 100-pokračovať" sa uistite, že výsledok označuje stav "100 pokračovať" a nie aktuálny stav požiadavky.
- mod_dav pridáva podporu pre rozšírenia CalDAV, ktoré vyžadujú, aby sa pri generovaní vlastnosti brali do úvahy prvky dokumentu aj prvky vlastností. Pridané nové funkcie dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() a dav_find_attr(), ktoré je možné volať z iných modulov.
- V mpm_event bol vyriešený problém so zastavením nečinných podriadených procesov po náraste zaťaženia servera.
- Mod_http2 má opravené regresné zmeny, ktoré spôsobovali nesprávne správanie pri manipulácii s obmedzeniami MaxRequestsPerChild a MaxConnectionsPerChild.
- Možnosti modulu mod_md, ktorý sa používa na automatizáciu príjmu a údržby certifikátov pomocou protokolu ACME (Automatic Certificate Management Environment), boli rozšírené:
- Pridaná podpora pre mechanizmus ACME External Account Binding (EAB), povolený pomocou direktívy MDExternalAccountBinding. Hodnoty pre EAB je možné konfigurovať z externého súboru JSON, čím sa vyhnete odhaleniu parametrov autentifikácie v hlavnom konfiguračnom súbore servera.
- Direktíva 'MDCertificateAuthority' zabezpečuje, že parameter URL obsahuje http/https alebo jeden z preddefinovaných názvov ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' a 'Buypass-Test').
- Povolené zadať smernicu MDContactEmail vo vnútri sekcie .
- Bolo opravených niekoľko chýb, vrátane úniku pamäte, ku ktorému dochádza pri zlyhaní načítania súkromného kľúča.
Zdroj: opennet.ru