Apache HTTP-servern 2.4.52 har släppts och introducerar 25 ändringar och eliminerar 2 sårbarheter:
- CVE-2021-44790 är ett buffertspill i mod_lua som uppstår när flerpartsbegäranden analyseras. Sårbarheten påverkar konfigurationer där Lua-skript anropar funktionen r:parsebody() för att analysera förfrågningskroppen, vilket gör att en angripare kan orsaka ett buffertspill genom att skicka en specialgjord begäran. Inga bevis på ett utnyttjande har ännu identifierats, men problemet kan potentiellt leda till exekvering av dess kod på servern.
- CVE-2021-44224 - SSRF (Server Side Request Forgery) sårbarhet i mod_proxy, som gör det möjligt att, i konfigurationer med inställningen "ProxyRequests on", genom en begäran om en specialdesignad URI, uppnå en omdirigering av begäran till en annan hanterare på samma server som accepterar anslutningar via en Unix Domain Socket. Problemet kan också användas för att orsaka en krasch genom att skapa förutsättningar för en nollpekaredereferens. Problemet påverkar versioner av Apache httpd från och med version 2.4.7.
De mest anmärkningsvärda icke-säkerhetsändringarna är:
- Lade till stöd för att bygga med OpenSSL 3-biblioteket till mod_ssl.
- Förbättrad OpenSSL-biblioteksdetektering i autoconf-skript.
- I mod_proxy, för tunnlingsprotokoll, är det möjligt att inaktivera omdirigering av halvnära TCP-anslutningar genom att ställa in parametern "SetEnv proxy-nohalfclose".
- Lade till ytterligare kontroller av att URI:er som inte är avsedda för proxy innehåller http/https-schemat, och att de som är avsedda för proxy innehåller värdnamnet.
- mod_proxy_connect och mod_proxy tillåter inte att statuskoden ändras efter att den har skickats till klienten.
- När du skickar mellansvar efter att ha tagit emot förfrågningar med rubriken "Förvänta: 100-Fortsätt", se till att resultatet anger statusen "100 Fortsätt" snarare än den aktuella statusen för begäran.
- mod_dav lägger till stöd för CalDAV-tillägg, som kräver att både dokumentelement och egenskapselement beaktas när en egenskap genereras. Lade till nya funktioner dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() och dav_find_attr(), som kan anropas från andra moduler.
- I mpm_event har problemet med att stoppa inaktiva underordnade processer efter en ökning av serverbelastningen lösts.
- Mod_http2 har fixade regressionsändringar som orsakade felaktigt beteende vid hantering av MaxRequestsPerChild- och MaxConnectionsPerChild-begränsningar.
- Möjligheterna hos modulen mod_md, som används för att automatisera mottagande och underhåll av certifikat med hjälp av ACME-protokollet (Automatic Certificate Management Environment), har utökats:
- Lade till stöd för ACME External Account Binding (EAB)-mekanismen, aktiverad med MDExternalAccountBinding-direktivet. Värden för EAB kan konfigureras från en extern JSON-fil, vilket undviker att exponera autentiseringsparametrar i huvudserverns konfigurationsfil.
- Direktivet 'MDCertificateAuthority' säkerställer att URL-parametern innehåller http/https eller ett av de fördefinierade namnen ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' och 'Buypass-Test').
- Tillåtet att specificera MDContactEmail-direktivet i avsnittet .
- Flera buggar har åtgärdats, inklusive en minnesläcka som uppstår när laddningen av en privat nyckel misslyckas.
Källa: opennet.ru