Објављен је Апацхе ХТТП сервер 2.4.52, који је увео 25 измена и елиминисао 2 рањивости:
- ЦВЕ-2021-44790 је преливање бафера у мод_луа који се јавља приликом рашчлањивања вишеделних захтева. Рањивост утиче на конфигурације у којима Луа скрипте позивају функцију р:парсебоди() да рашчлане тело захтева, дозвољавајући нападачу да изазове преливање бафера слањем посебно креираног захтева. Још увек нису идентификовани докази о експлоатацији, али проблем би потенцијално могао да доведе до извршавања његовог кода на серверу.
- ЦВЕ-2021-44224 – ССРФ (Фалсификовање захтева на страни сервера) рањивост у мод_проки, која омогућава, у конфигурацијама са поставком „ПрокиРекуестс он“, преко захтева за посебно дизајнираним УРИ-јем, да се постигне преусмеравање захтева на други руковалац на истом сервер који прихвата везе преко Уник доменске утичнице. Проблем се такође може користити да изазове пад стварањем услова за нулту референцу показивача. Проблем утиче на верзије Апацхе хттпд-а почевши од верзије 2.4.7.
Најзначајније промене које се не односе на безбедност су:
- Додата подршка за изградњу са ОпенССЛ 3 библиотеком у мод_ссл.
- Побољшано откривање ОпенССЛ библиотеке у аутоцонф скриптама.
- У мод_проки, за протоколе за тунелирање, могуће је онемогућити преусмеравање полузатворених ТЦП веза постављањем параметра „СетЕнв проки-нохалфцлосе“.
- Додате су додатне провере да УРИ који нису намењени за проки садрже хттп/хттпс шему, а они намењени за проки садрже име хоста.
- мод_проки_цоннецт и мод_проки не дозвољавају да се статусни код промени након што је послан клијенту.
- Када шаљете међуодговоре након пријема захтева са заглављем „Очекујте: 100-Настави“, уверите се да резултат указује на статус „100 Настави“, а не на тренутни статус захтева.
- мод_дав додаје подршку за ЦалДАВ екстензије, које захтевају да се при генерисању својства узму у обзир и елементи документа и елементи својства. Додате нове функције дав_валидате_роот_нс(), дав_финд_цхилд_нс(), дав_финд_нект_нс(), дав_финд_аттр_нс() и дав_финд_аттр(), које се могу позвати из других модула.
- У мпм_евент, решен је проблем са заустављањем неактивних подређених процеса након повећања оптерећења сервера.
- Мод_хттп2 има исправљене промене регресије које су изазвале неправилно понашање при руковању ограничењима МакРекуестсПерЦхилд и МакЦоннецтионсПерЦхилд.
- Могућности модула мод_мд, који се користи за аутоматизацију пријема и одржавања сертификата помоћу АЦМЕ (Аутоматиц Цертифицате Манагемент Енвиронмент) протокола, су проширене:
- Додата подршка за АЦМЕ механизам везивања спољног налога (ЕАБ), омогућен коришћењем директиве МДЕктерналАццоунтБиндинг. Вредности за ЕАБ се могу конфигурисати из спољне ЈСОН датотеке, избегавајући излагање параметара аутентификације у главној конфигурационој датотеци сервера.
- Директива 'МДЦертифицатеАутхорити' осигурава да параметар УРЛ-а садржи хттп/хттпс или једно од унапред дефинисаних имена ('ЛетсЕнцрипт', 'ЛетсЕнцрипт-Тест', 'Буипасс' и 'Буипасс-Тест').
- Дозвољено да се наведе директива МДЦонтацтЕмаил унутар одељка .
- Исправљено је неколико грешака, укључујући цурење меморије које се јавља када учитавање приватног кључа не успе.
Извор: опеннет.ру