Prije nekoliko dana najavljeno je izdavanje nove verzije Apache HTTP 2.4.52 servera u kojoj je urađeno oko 25 izmjena i pored toga izvršena je korekcija 2 ranjivosti.
Za one koji još uvijek nisu upoznati sa Apache HTTP serverom, trebali bi znati da je ovo open source, cross-platform HTTP web server koji implementira HTTP/1.1 protokol i pojam virtuelne stranice prema RFC 2616 standardu.
Šta je novo u Apache HTTP 2.4.52?
U ovoj novoj verziji servera to možemo pronaći dodana podrška za izgradnju sa OpenSSL 3 bibliotekom u mod_sslPored toga, poboljšana je detekcija u OpenSSL biblioteci u autoconf skriptama.
Još jedan novitet koji se ističe u ovoj novoj verziji je u mod_proxy za protokole za tuneliranje, moguće je onemogućiti preusmjeravanje TCP veza pola zatvoren postavljanjem parametra "SetEnv proxy-nohalfclose".
En mod_proxy_connect i mod_proxy, zabranjeno je mijenjati statusni kod nakon slanja kupcu.
Dok ste ušli mod_dav dodaje podršku za CalDAV ekstenzije, Koji mora uzeti u obzir i dokument i elemente svojstva prilikom generiranja svojstva. Dodane su nove funkcije dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () i dav_find_attr (), koje se mogu pozvati iz drugih modula.
En mod_http2, popravljene su promjene unatrag koje dovode do nepravilnog ponašanja kada se rukuje ograničenjima MaxRequestsPerChild i MaxConnectionsPerChild.
Također se napominje da su proširene mogućnosti modula mod_md, koji se koristi za automatizaciju prijema i održavanja certifikata putem ACME protokola (Automatic Certificate Management Environment):
Dodata podrška za ACME mehanizam Eksterno povezivanje naloga (EAB), koje je omogućeno direktivom MDExternalAccountBinding. Vrijednosti za EAB se mogu konfigurirati iz vanjske JSON datoteke tako da parametri provjere autentičnosti ne budu izloženi u glavnoj konfiguracijskoj datoteci servera.
Direktiva 'MDCertificateAuthority' pruža verifikaciju indikacija u url parametru http / https ili jedan od unapred definisanih naziva ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' i 'Buypass-Test').
Od ostalih promjena koje se ističu u ovoj novoj verziji:
- Dodate su dodatne provjere da URI-ji koji nisu namijenjeni za proxy sadrže http/https shemu, ali oni koji su namijenjeni za proxy sadrže ime hosta.
- Slanje privremenih odgovora nakon prijema zahtjeva sa zaglavljem "Očekujte: 100-Nastavi" je dato kako bi se ukazalo na rezultat statusa "100 Nastavi" umjesto trenutnog statusa zahtjeva.
- Mpm_event rješava problem zaustavljanja neaktivnih podređenih procesa nakon naglog opterećenja servera.
- Dozvoljeno je specificirati MDContactEmail direktivu unutar odjeljka .
- Ispravljeno je nekoliko grešaka, uključujući curenje memorije koje se javlja kada se privatni ključ ne učita.
Što se tiče ranjivosti koje su popravljene u ovoj novoj verziji spominje se sljedeće:
- CVE 2021-44790: Prelivanje bafera u mod_lua, manifestirani zahtjevi za raščlanjivanje, koji se sastoje od više dijelova (višedijelnih). Ranjivost utiče na konfiguracije u kojima Lua skripte pozivaju funkciju r: parsebody () da raščlane tijelo zahtjeva i dopuste napadaču da postigne prelivanje bafera slanjem posebno kreiranog zahtjeva. Činjenice o prisustvu eksploatacije tek treba da budu identifikovane, ali potencijalno problem može dovesti do izvršavanja vašeg koda na serveru.
- SSRF ranjivost (Falsifikovanje zahtjeva sa strane servera): u mod_proxy, koji omogućava, u konfiguracijama sa opcijom "ProxyRequests on", putem zahtjeva iz posebno formiranog URI-ja, da se zahtjev preusmjeri na drugi kontroler na istom serveru koji prihvata veze preko utičnice Unix domena. Problem se također može koristiti da izazove pad stvaranjem uslova za uklanjanje reference na nulti pokazivač. Problem utiče na httpd verzije Apache-a od 2.4.7.
Konačno, ako ste zainteresirani da saznate više o ovoj novoj izdanoj verziji, možete provjeriti detalje u sljedeći link.