Опубліковано реліз HTTP-сервера Apache 2.4.48 (випуск 2.4.47 був пропущений), в якому представлено 39 змін та усунено 8 вразливостей:
- CVE-2021-30641 - неправильне спрацювання секції у режимі 'MergeSlashes OFF';
- CVE-2020-35452 - переповнення стека на один нульовий байт в mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - розіменування покажчика NULL в mod_http2, mod_session та mod_proxy_http;
- CVE-2020-13938 – можливість зупинення процесу httpd непривілейованим користувачем у Windows;
- CVE-2019-17567 — проблеми з узгодженням протоколів у mod_proxy_wstunnel та mod_proxy_http.
Найбільш помітні зміни, не пов'язані з безпекою:
- У mod_proxy_wstunnel додано налаштування ProxyWebsocketFallbackToProxyHttp для відключення переходу на використання mod_proxy_http для WebSocket.
- В основний серверний API включені пов'язані з SSL функції, які тепер доступні без модуля mod_ssl (наприклад, дозволяють модулю mod_md надавати ключі та сертифікати).
- Обробка відповідей OCSP (Online Certificate Status Protocol) перенесена з mod_ssl/mod_md до базової частини, що дозволяє іншими модулями звертатися до даних OCSP та формувати відповіді OCSP.
- У mod_md дозволено використання масок у директиві MDomains, наприклад, "MDomain *.host.net". У директиві MDPrivateKeys дозволено вказівку різних типів ключів, наприклад, «MDPrivateKeys secp384r1 rsa2048» дозволяє використовувати сертифікати ECDSA та RSA. Приділено підтримку застарілого протоколу ACMEv1.
- У mod_lua додано підтримку Lua 5.4.
- Оновлено версію модуля mod_http2. Поліпшено обробку помилок. Додано опцію 'H2OutputBuffering on/off' для керування буферизацією виводу (за замовчуванням увімкнено).
- У mod_dav_у директиві FileETag реалізовано режим «Digest» для генерації ETag на основі хешу від вмісту файлу.
- У mod_proxy дозволено обмеження застосування ProxyErrorOverride окремими кодами стану.
- Реалізовано нові директиви ReadBufferSize, FlushMaxThreshold та FlushMaxPipelined.
- У mod_rewrite реалізовано обробку атрибуту SameSite при розборі прапора [CO] (cookie) у директиві RewriteRule.
- У mod_proxy додано хук check_trans для відхилення запитів на ранній стадії.
Джерело: opennet.ru