Serveri Apache HTTP 2.4.52 është lëshuar, duke prezantuar 25 ndryshime dhe duke eliminuar 2 dobësi:
- CVE-2021-44790 është një tejmbushje buferi në mod_lua që ndodh kur analizohen kërkesat me shumë pjesë. Dobësia prek konfigurimet në të cilat skriptet Lua thërrasin funksionin r:parsebody() për të analizuar trupin e kërkesës, duke lejuar një sulmues të shkaktojë një tejmbushje buferi duke dërguar një kërkesë të krijuar posaçërisht. Nuk është identifikuar ende asnjë provë e një shfrytëzimi, por problemi mund të çojë potencialisht në ekzekutimin e kodit të tij në server.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) cenueshmëria në mod_proxy, e cila lejon, në konfigurimet me cilësimin "ProxyRequests on", përmes një kërkese për një URI të projektuar posaçërisht, të arrihet një ridrejtim i kërkesës te një mbajtës tjetër në të njëjtën server që pranon lidhjet nëpërmjet një foleje domeni Unix. Problemi mund të përdoret gjithashtu për të shkaktuar një përplasje duke krijuar kushtet për një mosreferencim të treguesit null. Problemi prek versionet e Apache httpd duke filluar nga versioni 2.4.7.
Ndryshimet më të dukshme jo të sigurisë janë:
- Shtoi mbështetje për ndërtimin me bibliotekën OpenSSL 3 në mod_ssl.
- Zbulimi i përmirësuar i bibliotekës OpenSSL në skriptet e konfigurimit automatik.
- Në mod_proxy, për protokollet e tunelit, është e mundur të çaktivizohet ridrejtimi i lidhjeve gjysmë të mbyllura TCP duke vendosur parametrin "SetEnv proxy-nohalfclose".
- U shtuan kontrolle shtesë që URI-të që nuk janë të destinuara për proxying përmbajnë skemën http/https dhe ato të destinuara për proxy përmbajnë emrin e hostit.
- mod_proxy_connect dhe mod_proxy nuk lejojnë që kodi i statusit të ndryshojë pasi t'i jetë dërguar klientit.
- Kur dërgoni përgjigje të ndërmjetme pas marrjes së kërkesave me titullin "Prisni: 100-Vazhdo", sigurohuni që rezultati të tregojë statusin "100 Vazhdo" dhe jo statusin aktual të kërkesës.
- mod_dav shton mbështetje për shtesat CalDAV, të cilat kërkojnë që të merren parasysh si elementët e dokumentit ashtu edhe elementët e vetive gjatë krijimit të një vetie. U shtuan funksione të reja dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() dhe dav_find_attr(), të cilat mund të thirren nga module të tjera.
- Në mpm_event, problemi me ndalimin e proceseve të papunë të fëmijës pas një rritjeje të ngarkesës së serverit është zgjidhur.
- Mod_http2 ka rregulluar ndryshimet e regresionit që shkaktuan sjellje të pasaktë gjatë trajtimit të kufizimeve MaxRequestsPerChild dhe MaxConnectionsPerChild.
- Aftësitë e modulit mod_md, i përdorur për të automatizuar marrjen dhe mirëmbajtjen e certifikatave duke përdorur protokollin ACME (Automatic Certificate Management Environment), janë zgjeruar:
- Mbështetje e shtuar për mekanizmin ACME External Account Binding (EAB), i mundësuar duke përdorur direktivën MDExternalAccountBinding. Vlerat për EAB mund të konfigurohen nga një skedar i jashtëm JSON, duke shmangur ekspozimin e parametrave të vërtetimit në skedarin kryesor të konfigurimit të serverit.
- Direktiva 'MDCertificateAuthority' siguron që parametri URL të përmbajë http/https ose një nga emrat e paracaktuar ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' dhe 'Buypass-Test').
- Lejohet të specifikojë direktivën MDContactEmail brenda seksionit .
- Janë rregulluar disa gabime, duke përfshirë një rrjedhje memorie që ndodh kur ngarkimi i një çelësi privat dështon.
Burimi: opennet.ru