Apache HTTP sunucusu 2.4.52 yayımlandı ve 25 değişiklik yapıldı ve 2 güvenlik açığı ortadan kaldırıldı:
- CVE-2021-44790, çok parçalı istekler ayrıştırılırken mod_lua'da meydana gelen bir arabellek taşmasıdır. Güvenlik açığı, Lua komut dosyalarının istek gövdesini ayrıştırmak için r:parsebody() işlevini çağırdığı yapılandırmaları etkileyerek, bir saldırganın özel hazırlanmış bir istek göndererek arabellek taşmasına neden olmasına olanak tanır. Henüz bir istismarın kanıtı tespit edilmedi, ancak sorun potansiyel olarak kodunun sunucuda yürütülmesine yol açabilir.
- CVE-2021-44224 - mod_proxy'deki SSRF (Sunucu Tarafı İstek Sahteciliği) güvenlik açığı; "ProxyRequests açık" ayarına sahip yapılandırmalarda, özel olarak tasarlanmış bir URI isteği aracılığıyla aynı sunucudaki başka bir işleyiciye istek yönlendirmesi elde edilmesine olanak tanır Unix Etki Alanı Soketi aracılığıyla bağlantıları kabul eden sunucu. Bu sorun aynı zamanda boş işaretçi başvurusunun koşullarını oluşturarak bir kilitlenmeye neden olmak için de kullanılabilir. Sorun, Apache httpd'nin 2.4.7 sürümünden itibaren sürümlerini etkilemektedir.
Güvenlikle ilgili olmayan en dikkate değer değişiklikler şunlardır:
- Mod_ssl'ye OpenSSL 3 kitaplığıyla oluşturma desteği eklendi.
- Autoconf komut dosyalarında iyileştirilmiş OpenSSL kitaplığı algılaması.
- mod_proxy'de tünel protokolleri için “SetEnv proxy-nohalfclose” parametresini ayarlayarak yarı kapalı TCP bağlantılarının yeniden yönlendirilmesini devre dışı bırakmak mümkündür.
- Proxy için amaçlanmayan URI'lerin http/https şemasını içerdiğine ve proxy için amaçlananların ana bilgisayar adını içerdiğine dair ek kontroller eklendi.
- mod_proxy_connect ve mod_proxy, istemciye gönderildikten sonra durum kodunun değişmesine izin vermez.
- "Expect: 100-Devam" başlığıyla istek aldıktan sonra ara yanıtlar gönderirken, sonucun isteğin mevcut durumu yerine "100 Devam Et" durumunu gösterdiğinden emin olun.
- mod_dav, bir özellik oluşturulurken hem belge öğelerinin hem de özellik öğelerinin dikkate alınmasını gerektiren CalDAV uzantıları için destek ekler. Diğer modüllerden çağrılabilen dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() ve dav_find_attr() fonksiyonları eklendi.
- Mpm_event'te, sunucu yükünde bir artış sonrasında boşta kalan alt süreçlerin durdurulması sorunu çözüldü.
- Mod_http2, MaxRequestsPerChild ve MaxConnectionsPerChild kısıtlamalarını işlerken hatalı davranışlara neden olan regresyon değişikliklerini düzeltti.
- ACME (Otomatik Sertifika Yönetim Ortamı) protokolünü kullanarak sertifikaların alınmasını ve bakımını otomatikleştirmek için kullanılan mod_md modülünün yetenekleri genişletildi:
- MDExternalAccountBinding yönergesi kullanılarak etkinleştirilen ACME Harici Hesap Bağlama (EAB) mekanizması için destek eklendi. EAB değerleri, ana sunucu yapılandırma dosyasındaki kimlik doğrulama parametrelerinin açığa çıkmasını önleyerek harici bir JSON dosyasından yapılandırılabilir.
- 'MDCertificateAuthority' yönergesi, URL parametresinin http/https veya önceden tanımlanmış adlardan birini ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' ve 'Buypass-Test') içermesini sağlar.
- Bölüm içinde MDContactEmail yönergesini belirtme izni var .
- Özel anahtarın yüklenmesi başarısız olduğunda meydana gelen bellek sızıntısı da dahil olmak üzere çeşitli hatalar düzeltildi.
Kaynak: opennet.ru