ProHoster > Blog > warta internét > Release of Apache 2.4.52 http server jeung panyangga overflow fix di mod_lua

Release of Apache 2.4.52 http server jeung panyangga overflow fix di mod_lua

Server Apache HTTP 2.4.52 parantos dileupaskeun, ngenalkeun 25 perobahan sareng ngaleungitkeun 2 kerentanan:

  • CVE-2021-44790 mangrupakeun mudal panyangga di mod_lua anu lumangsung nalika parsing requests multipart. Kerentanan mangaruhan konfigurasi nu skrip Lua nyauran r: parsebody () fungsi pikeun parse awak pamundut, sahingga hiji panyerang ngabalukarkeun panyangga mudal ku ngirim hiji pamundut dijieun husus. Henteu aya bukti eksploitasi anu acan diidentipikasi, tapi masalahna berpotensi ngakibatkeun palaksanaan kode na dina server.
  • CVE-2021-44224 - SSRF (Server Side Request Forgery) kerentanan dina mod_proxy, anu ngamungkinkeun, dina konfigurasi sareng setelan "ProxyRequests on", ngaliwatan pamundut pikeun URI anu dirarancang khusus, pikeun ngahontal alihan pamundut ka pawang anu sanés dina hal anu sami. server nu narima sambungan via Unix Domain Socket. Masalahna ogé tiasa dianggo pikeun nyababkeun kacilakaan ku nyiptakeun kaayaan pikeun dereference pointer null. Masalahna mangaruhan versi Apache httpd mimitian ti versi 2.4.7.

Parobahan non-kaamanan anu paling kasohor nyaéta:

  • Ditambahkeun dukungan pikeun ngawangun sareng perpustakaan OpenSSL 3 ka mod_ssl.
  • Ningkatkeun deteksi perpustakaan OpenSSL dina skrip autoconf.
  • Dina mod_proxy, pikeun protokol tunneling, kasebut nyaéta dimungkinkeun pikeun nganonaktipkeun alihan tina sambungan TCP satengah nutup ku netepkeun parameter "SetEnv proxy-nohalfclose".
  • Ditambahkeun cék tambahan yén URIs teu dimaksudkeun pikeun proxying ngandung skéma http / HTTPS, jeung nu dimaksudkeun pikeun proxying ngandung ngaran host.
  • mod_proxy_connect na mod_proxy teu ngidinan kode status robah sanggeus eta geus dikirim ka klien nu.
  • Nalika ngirim réspon perantara saatos nampi pamundut nganggo lulugu "Harepan: 100-Teruskeun", pastikeun yén hasilna nunjukkeun status "100 Teruskeun" tinimbang status pamundut ayeuna.
  • mod_dav nambahkeun rojongan pikeun ekstensi CalDAV, nu merlukeun duanana elemen dokumén jeung elemen sipat pikeun tumut kana akun nalika ngahasilkeun sipat. Ditambahkeun fungsi anyar dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () sarta dav_find_attr (), nu bisa disebut ti modul séjén.
  • Dina mpm_event, masalah sareng ngeureunkeun prosés anak dianggurkeun saatos surge dina beban server parantos direngsekeun.
  • Mod_http2 parantos ngalereskeun parobahan régrési anu nyababkeun kabiasaan anu salah nalika nanganan larangan MaxRequestsPerChild sareng MaxConnectionsPerChild.
  • Kamampuhan modul mod_md, anu dianggo pikeun ngajadikeun otomatis resi sareng pangropéa sertipikat nganggo protokol ACME (Automatic Certificate Management Environment), parantos dimekarkeun:
    • Ditambahkeun dukungan pikeun mékanisme ACME External Account Binding (EAB), diaktipkeun nganggo diréktif MDExternalAccountBinding. Nilai pikeun EAB tiasa dikonpigurasi tina file JSON éksternal, ngahindarkeun parameter auténtikasi dina file konfigurasi server utama.
    • Diréktif 'MDCertificateAuthority' mastikeun yén parameter URL ngandung http/https atawa salah sahiji ngaran nu geus ditangtukeun ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' jeung 'Buypass-Test').
    • Diidinan pikeun nangtukeun diréktif MDContactEmail di jero bagian éta .
    • Sababaraha bug parantos dibenerkeun, kalebet bocor mémori anu lumangsung nalika ngamuat konci pribadi gagal.

sumber: opennet.ru

Tambahkeun komentar