Преди няколко дни беше обявено пускането на новата версия на сървъра Apache HTTP 2.4.52 в който са направени около 25 промени и освен това е направена корекция е на 2 уязвимости.
За тези, които все още не са запознати с HTTP сървъра на Apache, те трябва да знаят, че това е отворен код, кросплатформен HTTP уеб сървър, който реализира протокола HTTP / 1.1 и понятието виртуален сайт според стандарта RFC 2616.
Какво е новото в Apache HTTP 2.4.52?
В тази нова версия на сървъра можем да намерим това добавена поддръжка за изграждане с библиотека OpenSSL 3 в mod_sslВ допълнение, откриването беше подобрено в библиотеката OpenSSL в скриптове за autoconf.
Друга новост, която се откроява в тази нова версия, е в mod_proxy за протоколи за тунелиране, възможно е да забраните пренасочването на TCP връзки наполовина затворен чрез задаване на параметъра "SetEnv proxy-nohalfclose".
En mod_proxy_connect и mod_proxy, е забранено да променяте кода на състоянието след като го изпрати на клиента.
Докато сте в mod_dav добавя поддръжка за разширения CalDAV, Което трябва да вземе предвид както елементите на документа, така и елементите на свойството при генериране на свойство. Добавени са нови функции dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () и dav_find_attr (), които могат да бъдат извиквани от други модули.
En mod_http2, промените назад, водещи до неправилно поведение, са коригирани при работа с ограничения MaxRequestsPerChild и MaxConnectionsPerChild.
Отбелязва се също, че възможностите на модула mod_md, използван за автоматизиране на получаването и поддръжката на сертификати чрез протокола ACME (Автоматична среда за управление на сертификати), са разширени:
Добавена поддръжка за ACME механизъм Външно обвързване на акаунт (EAB), което е активирано от директивата MDExternalAccountBinding. Стойностите за EAB могат да бъдат конфигурирани от външен JSON файл, така че параметрите за удостоверяване да не са изложени в основния конфигурационен файл на сървъра.
Директива „MDCertificateAuthority“ осигурява проверка на индикацията в параметъра url http / https или едно от предварително дефинираните имена ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' и 'Buypass-Test').
От другите промени, които се открояват в тази нова версия:
- Добавени са допълнителни проверки, че URI, които не са предназначени за прокси сървъра, съдържат http / https схемата, но тези, които са предназначени за прокси сървъра, съдържат името на хоста.
- Изпращането на междинни отговори след получаване на заявки със заглавката „Очаквай: 100-Продължи“ се предоставя, за да се посочи резултатът от състоянието „100 Продължи“ вместо текущото състояние на заявката.
- Mpm_event решава проблема със спирането на неактивни дъщерни процеси след скок в натоварването на сървъра.
- Разрешено е да се посочи директивата MDContactEmail в секцията .
- Отстранени са няколко грешки, включително изтичане на памет, което възниква, когато частен ключ не е зареден.
Относно уязвимости, които бяха коригирани в тази нова версия се споменава следното:
- CVE 2021-44790: Препълване на буфер в mod_lua, проявени заявки за синтактичен анализ, състоящи се от множество части (многочасти). Уязвимостта засяга конфигурации, в които скриптовете на Lua извикват функцията r: parsebody (), за да анализират тялото на заявката и да позволят на атакуващия да постигне препълване на буфер чрез изпращане на специално изработена заявка. Фактите за наличието на експлойт все още не са идентифицирани, но потенциално проблемът може да доведе до изпълнението на вашия код на сървъра.
- SSRF уязвимост (Server Side Request Forgery): в mod_proxy, който позволява, в конфигурации с опцията „ProxyRequests on“, чрез заявка от специално формиран URI, да се пренасочи заявката към друг контролер на същия сървър, който приема връзки през сокет Unix домейн. Проблемът може също да се използва за предизвикване на срив чрез създаване на условия за премахване на препратката към нулев указател. Проблемът засяга httpd версиите на Apache от 2.4.7.
И накрая, ако се интересувате да научите повече за тази нова издадена версия, можете да проверите подробностите в следната връзка.