Apache HTTP 伺服器 2.4.52 已發布,引入了 25 個變更並消除了 2 個漏洞:
- CVE-2021-44790 是 mod_lua 中的緩衝區溢出,在解析多部分請求時發生。 此漏洞影響 Lua 腳本呼叫 r:parsebody() 函數解析請求正文的配置,允許攻擊者透過傳送特製請求來導致緩衝區溢位。 尚未發現漏洞利用的證據,但該問題可能會導致其程式碼在伺服器上執行。
- CVE-2021-44224 - mod_proxy 中的SSRF(伺服器端請求偽造)漏洞,允許在「ProxyRequests on」設定的配置中,透過對專門設計的URI 的請求,實現將請求重定向到同一伺服器上的另一個處理程序透過 Unix 網域套接字接受連接的伺服器。 該問題還可以透過建立空指標取消引用的條件來導致崩潰。 該問題影響從 2.4.7 版開始的 Apache httpd 版本。
最顯著的非安全變化是:
- 向 mod_ssl 新增了對使用 OpenSSL 3 函式庫進行建置的支援。
- 改進了 autoconf 腳本中的 OpenSSL 庫檢測。
- 在 mod_proxy 中,對於隧道協議,可以透過設定「SetEnv proxy-nohalfclose」參數來停用半關閉 TCP 連線的重定向。
- 新增了額外的檢查,確保不用於代理程式的 URI 包含 http/https 方案,而用於代理程式的 URI 包含主機名稱。
- mod_proxy_connect 和 mod_proxy 不允許狀態代碼在傳送到客戶端後發生變更。
- 在收到帶有「Expect: 100-Continue」標頭的請求後發送中間回應時,請確保結果指示「100 Continue」的狀態,而不是請求的當前狀態。
- mod_dav 新增了對 CalDAV 擴充功能的支持,這要求在產生屬性時同時考慮文件元素和屬性元素。 新增了新函數 dav_validate_root_ns()、dav_find_child_ns()、dav_find_next_ns()、dav_find_attr_ns() 和 dav_find_attr(),可以從其他模組呼叫。
- 在 mpm_event 中,解決了伺服器負載激增後停止空閒子程序的問題。
- Mod_http2 修正了在處理 MaxRequestsPerChild 和 MaxConnectionsPerChild 限制時導致錯誤行為的迴歸變更。
- mod_md 模組的功能已擴展,用於使用 ACME(自動憑證管理環境)協定自動接收和維護憑證:
- 新增了對 ACME 外部帳戶綁定 (EAB) 機制的支持,使用 MDExternalAccountBinding 指令啟用。 EAB 的值可以從外部 JSON 檔案進行配置,從而避免在主伺服器設定檔中暴露身份驗證參數。
- 「MDCertificateAuthority」指令確保 URL 參數包含 http/https 或預先定義名稱之一(「LetsEncrypt」、「LetsEncrypt-Test」、「Buypass」和「Buypass-Test」)。
- 允許在節內指定 MDContactEmail 指令。
- 修復了多個錯誤,包括載入私鑰失敗時發生的記憶體洩漏。
來源: opennet.ru