เปิดตัวเซิร์ฟเวอร์ Apache HTTP 2.4.48 แล้ว (ข้ามรุ่น 2.4.47 ไป) ซึ่งแนะนำการเปลี่ยนแปลง 39 รายการและกำจัดช่องโหว่ 8 รายการ:
- CVE-2021-30641 - ส่วนการยิงผิดพลาด ในโหมด 'MergeSlashes OFF';
- CVE-2020-35452 - สแต็กไบต์ว่างเดี่ยวล้นใน mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - การยกเลิกการอ้างอิงตัวชี้ NULL ใน mod_http2, mod_session และ mod_proxy_http;
- CVE-2020-13938 - ความเป็นไปได้ที่จะหยุดกระบวนการ httpd โดยผู้ใช้ที่ไม่มีสิทธิ์บน Windows
- CVE-2019-17567 - ปัญหาการเจรจาโปรโตคอลใน mod_proxy_wstunnel และ mod_proxy_http
การเปลี่ยนแปลงที่ไม่ใช่ด้านความปลอดภัยที่โดดเด่นที่สุดคือ:
- เพิ่มการตั้งค่า ProxyWebsocketFallbackToProxyHttp เป็น mod_proxy_wstunnel เพื่อปิดใช้งานการเปลี่ยนไปใช้ mod_proxy_http สำหรับ WebSocket
- API เซิร์ฟเวอร์หลักมีฟังก์ชันที่เกี่ยวข้องกับ SSL ซึ่งขณะนี้สามารถใช้งานได้โดยไม่ต้องใช้โมดูล mod_ssl (เช่น การอนุญาตให้โมดูล mod_md จัดเตรียมคีย์และใบรับรอง)
- การประมวลผลการตอบสนองของ OCSP (Online Certificate Status Protocol) ถูกย้ายจาก mod_ssl/mod_md ไปยังส่วนฐาน ซึ่งอนุญาตให้โมดูลอื่นๆ เข้าถึงข้อมูล OCSP และสร้างการตอบสนอง OCSP
- mod_md อนุญาตให้ใช้มาสก์ในคำสั่ง MDomains เช่น "MDomain *.host.net" คำสั่ง MDPrivateKeys อนุญาตให้ระบุประเภทคีย์ต่างๆ เช่น “MDPrivateKeys secp384r1 rsa2048” อนุญาตให้ใช้ใบรับรอง ECDSA และ RSA มีการให้การสนับสนุนโปรโตคอล ACMEv1 เดิม
- เพิ่มการรองรับ Lua 5.4 ให้กับ mod_lua
- เวอร์ชันอัปเดตของโมดูล mod_http2 ปรับปรุงการจัดการข้อผิดพลาด เพิ่มตัวเลือก 'H2OutputBuffering on/off' เพื่อควบคุมการบัฟเฟอร์เอาต์พุต (เปิดใช้งานตามค่าเริ่มต้น)
- คำสั่ง mod_dav_FileETag ใช้โหมด "Digest" เพื่อสร้าง ETag ตามแฮชของเนื้อหาไฟล์
- mod_proxy ช่วยให้คุณสามารถจำกัดการใช้ ProxyErrorOverride ให้กับรหัสสถานะเฉพาะได้
- มีการใช้คำสั่งใหม่ ReadBufferSize, FlushMaxThreshold และ FlushMaxPipelined
- mod_rewrite ใช้การประมวลผลของแอตทริบิวต์ SameSite เมื่อแยกวิเคราะห์แฟล็ก [CO] (คุกกี้) ในคำสั่ง RewriteRule
- เพิ่ม check_trans hook ให้กับ mod_proxy เพื่อปฏิเสธคำขอตั้งแต่ระยะแรก
ที่มา: opennet.ru