Сервери HTTP Apache 2.4.52 бароварда шуд, ки 25 тағирот ворид мекунад ва 2 осебпазириро аз байн мебарад:
- CVE-2021-44790 пуркунии буфер дар mod_lua аст, ки ҳангоми таҳлили дархостҳои бисёрқисм ба амал меояд. осебпазирӣ ба конфигуратсияҳое таъсир мерасонад, ки дар он скриптҳои Lua функсияи r:parsebody()-ро барои таҳлили мақоми дархост даъват мекунанд ва ба ҳамлагар имкон медиҳад, ки тавассути фиристодани дархости махсус таҳияшуда боиси фаромадани буфер гардад. Ягон далели истисмор то ҳол муайян карда нашудааст, аммо мушкилот эҳтимолан метавонад ба иҷрои коди он дар сервер оварда расонад.
- CVE-2021-44224 - осебпазирии SSRF (Server Side Request Forgery) дар mod_proxy, ки имкон медиҳад, ки дар конфигуратсияҳо бо танзимоти "ProxyRequests фаъол" тавассути дархост барои URI махсус тарҳрезишуда, барои ба даст овардани масири дархост ба коркарди дигар дар ҳамон сервере, ки пайвастҳоро тавассути васлаки домени Unix қабул мекунад. Ин масъала инчунин метавонад барои боиси садама тавассути фароҳам овардани шароит барои истинод ба нул нишондиҳанда истифода шавад. Масъала ба версияҳои Apache httpd, ки аз версияи 2.4.7 оғоз мешавад, таъсир мерасонад.
Тағйироти муҳимтарин дар соҳаи амният:
- Дастгирии сохтан бо китобхонаи OpenSSL 3 ба mod_ssl илова карда шуд.
- Муайянкунии беҳтаршудаи китобхонаи OpenSSL дар скриптҳои autoconf.
- Дар mod_proxy, барои протоколҳои нақбсозӣ, бо гузоштани параметри "SetEnv proxy-nohalfclose" масир масири пайвастҳои нимпўши TCP-ро ғайрифаъол кардан мумкин аст.
- Санҷишҳои иловагие илова карда шуданд, ки URI-ҳо барои прокси пешбинӣ нашудаанд схемаи http/https ва онҳое, ки барои прокси-синг пешбинӣ шудаанд, номи мизбонро дар бар мегиранд.
- mod_proxy_connect ва mod_proxy имкон намедиҳад, ки рамзи вазъ пас аз фиристодани он ба муштарӣ тағир ёбад.
- Ҳангоми фиристодани ҷавобҳои фосилавӣ пас аз гирифтани дархостҳо бо сарлавҳаи "Интизор: 100-Идома", боварӣ ҳосил кунед, ки натиҷа на ҳолати кунунии дархост мақоми "100 Идома"-ро нишон медиҳад.
- mod_dav барои васеъшавии CalDAV дастгирӣ илова мекунад, ки ҳангоми тавлиди амвол ҳам унсурҳои ҳуҷҷат ва ҳам унсурҳои моликиятро талаб мекунанд. Функсияҳои нав илова карда шуданд dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() ва dav_find_attr(), ки онҳоро аз дигар модулҳо даъват кардан мумкин аст.
- Дар mpm_event, мушкилот бо қатъ кардани равандҳои кӯдаконаи бекор пас аз афзоиши сарбории сервер ҳал карда шуд.
- Mod_http2 тағиротҳои регрессиониро собит кардааст, ки боиси рафтори нодуруст ҳангоми коркарди маҳдудиятҳои MaxRequestsPerChild ва MaxConnectionsPerChild шуданд.
- Имкониятҳои модули mod_md, ки барои автоматикунонии қабул ва нигоҳдории сертификатҳо бо истифода аз протоколи ACME (Automatic Certificate Environment Environment) истифода мешаванд, васеъ карда шуданд:
- Дастгирии иловагии механизми ACME External Account Binding (EAB), ки бо истифода аз дастури MDExternalAccountBinding фаъол карда шудааст. Арзишҳо барои EAB метавонанд аз файли берунии JSON танзим карда шаванд, то аз фош кардани параметрҳои аутентификатсия дар файли конфигуратсияи асосии сервер канорагирӣ кунанд.
- Дастури 'MDCertificateAuthority' кафолат медиҳад, ки параметри URL дорои http/https ё яке аз номҳои пешакӣ муайяншуда мебошад ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' ва 'Buypass-Test').
- Иҷозат дода мешавад, ки дастури MDContactEmail дар дохили бахш муайян карда шавад .
- Якчанд хатогиҳо ислоҳ карда шуданд, аз ҷумла ихроҷи хотира, ки ҳангоми боркунии калиди хусусӣ ноком мешавад.
Манбаъ: opennet.ru