Apache HTTP 服务器 2.4.48 版本已发布(跳过了 2.4.47 版本),该版本引入了 39 个更改并消除了 8 个漏洞:
- CVE-2021-30641 - 部分失火在“MergeSlashes OFF”模式下;
- CVE-2020-35452 - mod_auth_digest 中单个空字节堆栈溢出;
- CVE-2021-31618、CVE-2020-26691、CVE-2020-26690、CVE-2020-13950 - mod_http2、mod_session 和 mod_proxy_http 中的 NULL 指针取消引用;
- CVE-2020-13938 - Windows 上非特权用户可能停止 httpd 进程;
- CVE-2019-17567 - mod_proxy_wstunnel 和 mod_proxy_http 中的协议协商问题。
最显着的非安全变化是:
- 向 mod_proxy_wstunnel 添加了 ProxyWebsocketFallbackToProxyHttp 设置,以禁用对 WebSocket 使用 mod_proxy_http 的转换。
- 核心服务器 API 包括与 SSL 相关的功能,现在无需 mod_ssl 模块即可使用这些功能(例如,允许 mod_md 模块提供密钥和证书)。
- OCSP(在线证书状态协议)响应的处理已从 mod_ssl/mod_md 移至基础部分,这允许其他模块访问 OCSP 数据并生成 OCSP 响应。
- mod_md 允许在 MDomains 指令中使用掩码,例如“MDomain *.host.net”。 MDPrivateKeys 指令允许指定不同类型的密钥,例如“MDPrivateKeys secp384r1 rsa2048”允许使用 ECDSA 和 RSA 证书。 已提供对旧版 ACMEv1 协议的支持。
- mod_lua 添加了对 Lua 5.4 的支持。
- mod_http2 模块的更新版本。 改进了错误处理。 添加了“H2OutputBuffering on/off”选项来控制输出缓冲(默认情况下启用)。
- mod_dav_FileETag 指令实现“摘要”模式,以根据文件内容的哈希值生成 ETag。
- mod_proxy 允许您将 ProxyErrorOverride 的使用限制为特定状态代码。
- 新指令 ReadBufferSize、FlushMaxThreshold 和 FlushMaxPipelined 已实现。
- mod_rewrite 实现在解析 RewriteRule 指令中的 [CO] (cookie) 标志时对 SameSite 属性的处理。
- 向 mod_proxy 添加了 check_trans 挂钩,以在早期阶段拒绝请求。
来源: opennet.ru