Izdan je bil strežnik HTTP Apache 2.4.52, ki uvaja 25 sprememb in odpravlja 2 ranljivosti:
- CVE-2021-44790 je prekoračitev medpomnilnika v mod_lua, do katere pride pri razčlenjevanju večdelnih zahtev. Ranljivost vpliva na konfiguracije, v katerih skripti Lua pokličejo funkcijo r:parsebody(), da razčlenijo telo zahteve, kar napadalcu omogoči, da povzroči prekoračitev medpomnilnika s pošiljanjem posebej oblikovane zahteve. Nobenih dokazov o izkoriščanju še ni bilo ugotovljeno, vendar bi težava lahko vodila do izvajanja njegove kode na strežniku.
- CVE-2021-44224 - Ranljivost SSRF (Server Side Request Forgery) v mod_proxy, ki omogoča, da v konfiguracijah z nastavitvijo »ProxyRequests on« prek zahteve za posebej zasnovan URI doseže preusmeritev zahteve k drugemu upravljavcu na istem strežnik, ki sprejema povezave prek Unix Domain Socket. Težavo je mogoče uporabiti tudi za povzročitev zrušitve z ustvarjanjem pogojev za dereferenco ničelnega kazalca. Težava vpliva na različice Apache httpd od različice 2.4.7.
Najbolj opazne spremembe, ki niso povezane z varnostjo:
- V mod_ssl je dodana podpora za gradnjo s knjižnico OpenSSL 3.
- Izboljšano zaznavanje knjižnice OpenSSL v skriptih autoconf.
- V mod_proxy je za protokole tuneliranja mogoče onemogočiti preusmeritev napol zaprtih povezav TCP z nastavitvijo parametra »SetEnv proxy-nohalfclose«.
- Dodana dodatna preverjanja, ali URI-ji, ki niso namenjeni proxyju, vsebujejo shemo http/https, tisti, ki so namenjeni proxyju, pa vsebujejo ime gostitelja.
- mod_proxy_connect in mod_proxy ne dovolita spremembe statusne kode, potem ko je bila poslana odjemalcu.
- Pri pošiljanju vmesnih odgovorov po prejemu zahtev z glavo »Pričakuj: 100-Nadaljuj« zagotovite, da rezultat označuje status »100 Nadaljuj« in ne trenutni status zahteve.
- mod_dav dodaja podporo za razširitve CalDAV, ki zahtevajo, da se pri ustvarjanju lastnosti upoštevajo elementi dokumenta in lastnosti. Dodane nove funkcije dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() in dav_find_attr(), ki jih je mogoče priklicati iz drugih modulov.
- V mpm_event je bila odpravljena težava z zaustavitvijo nedejavnih podrejenih procesov po skokoviti obremenitvi strežnika.
- Mod_http2 je popravil spremembe regresije, ki so povzročile nepravilno vedenje pri obravnavanju omejitev MaxRequestsPerChild in MaxConnectionsPerChild.
- Razširjene so bile zmogljivosti modula mod_md, ki se uporablja za avtomatizacijo prejemanja in vzdrževanja certifikatov s protokolom ACME (Automatic Certificate Management Environment):
- Dodana podpora za mehanizem ACME External Account Binding (EAB), omogočen z uporabo direktive MDExternalAccountBinding. Vrednosti za EAB je mogoče konfigurirati iz zunanje datoteke JSON, s čimer se izognete izpostavljanju parametrov za preverjanje pristnosti v glavni konfiguracijski datoteki strežnika.
- Direktiva 'MDCertificateAuthority' zagotavlja, da parameter URL vsebuje http/https ali eno od vnaprej določenih imen ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' in 'Buypass-Test').
- Dovoljeno določanje direktive MDContactEmail znotraj razdelka .
- Odpravljenih je bilo več napak, vključno z uhajanjem pomnilnika, do katerega pride, ko nalaganje zasebnega ključa ne uspe.
Vir: opennet.ru