Ang Apache HTTP server 2.4.52 ay inilabas, na nagpapakilala ng 25 pagbabago at nag-aalis ng 2 kahinaan:
- Ang CVE-2021-44790 ay isang buffer overflow sa mod_lua na nangyayari kapag nag-parse ng mga kahilingan sa maraming bahagi. Naaapektuhan ng kahinaan ang mga configuration kung saan tinatawag ng mga Lua script ang r:parsebody() function para i-parse ang request body, na nagpapahintulot sa isang attacker na magdulot ng buffer overflow sa pamamagitan ng pagpapadala ng espesyal na ginawang kahilingan. Wala pang natukoy na ebidensya ng pagsasamantala, ngunit ang problema ay maaaring humantong sa pagpapatupad ng code nito sa server.
- CVE-2021-44224 - kahinaan ng SSRF (Server Side Request Forgery) sa mod_proxy, na nagpapahintulot, sa mga pagsasaayos na may setting na "ProxyRequests on", sa pamamagitan ng isang kahilingan para sa isang espesyal na idinisenyong URI, upang makamit ang isang kahilingan sa pag-redirect sa isa pang handler sa parehong server na tumatanggap ng mga koneksyon sa pamamagitan ng Unix Domain Socket. Ang isyu ay maaari ding gamitin upang magdulot ng pag-crash sa pamamagitan ng paglikha ng mga kundisyon para sa isang null pointer dereference. Ang isyu ay nakakaapekto sa mga bersyon ng Apache httpd simula sa bersyon 2.4.7.
Ang pinaka-kapansin-pansing mga pagbabagong hindi pangseguridad ay:
- Nagdagdag ng suporta para sa pagbuo gamit ang OpenSSL 3 library sa mod_ssl.
- Pinahusay na OpenSSL library detection sa mga autoconf script.
- Sa mod_proxy, para sa mga tunneling protocol, posibleng i-disable ang pag-redirect ng kalahating malapit na koneksyon sa TCP sa pamamagitan ng pagtatakda ng parameter na "SetEnv proxy-nohalfclose".
- Nagdagdag ng mga karagdagang pagsusuri na ang mga URI ay hindi nilayon para sa pag-proxy ay naglalaman ng http/https scheme, at ang mga inilaan para sa pag-proxy ay naglalaman ng pangalan ng host.
- Hindi pinapayagan ng mod_proxy_connect at mod_proxy na magbago ang status code pagkatapos itong maipadala sa kliyente.
- Kapag nagpapadala ng mga intermediate na tugon pagkatapos makatanggap ng mga kahilingan gamit ang header na "Asahan: 100-Magpatuloy," tiyaking isinasaad ng resulta ang katayuan ng "100 Magpatuloy" sa halip na ang kasalukuyang katayuan ng kahilingan.
- Ang mod_dav ay nagdaragdag ng suporta para sa mga extension ng CalDAV, na nangangailangan ng parehong mga elemento ng dokumento at mga elemento ng pag-aari na isaalang-alang kapag bumubuo ng isang ari-arian. Nagdagdag ng mga bagong function dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() at dav_find_attr(), na maaaring tawagan mula sa ibang mga module.
- Sa mpm_event, ang problema sa paghinto ng mga idle na proseso ng bata pagkatapos ng pag-akyat sa pag-load ng server ay nalutas na.
- Ang Mod_http2 ay may naayos na mga pagbabago sa regression na nagdulot ng hindi tamang pag-uugali kapag pinangangasiwaan ang mga paghihigpit sa MaxRequestsPerChild at MaxConnectionsPerChild.
- Ang mga kakayahan ng mod_md module, na ginamit para i-automate ang pagtanggap at pagpapanatili ng mga certificate gamit ang ACME (Automatic Certificate Management Environment) protocol, ay pinalawak:
- Nagdagdag ng suporta para sa mekanismo ng ACME External Account Binding (EAB), na pinagana gamit ang direktiba ng MDExternalAccountBinding. Ang mga halaga para sa EAB ay maaaring i-configure mula sa isang panlabas na JSON file, pag-iwas sa paglantad ng mga parameter ng pagpapatunay sa pangunahing file ng configuration ng server.
- Tinitiyak ng direktiba ng 'MDCertificateAuthority' na ang parameter ng URL ay naglalaman ng http/https o isa sa mga paunang natukoy na pangalan ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' at 'Buypass-Test').
- Pinapayagan na tukuyin ang direktiba ng MDContactEmail sa loob ng seksyong .
- Maraming mga bug ang naayos, kabilang ang isang memory leak na nangyayari kapag nabigo ang paglo-load ng pribadong key.
Pinagmulan: opennet.ru