Ja fa diversos dies es va donar a conèixer el llançament de la nova versió del servidor Apache HTTP 2.4.52 en la qual es van realitzar prop de 25 canvis i que a més es va realitzar la correcció és de 2 vulnerabilitats.
Per als qui encara desconeixen del servidor HTTP Apache, han de saber que aquest és un servidor web HTTP de codi obert, multiplataforma i que implementa el protocol HTTP/1.1 i la noció de lloc virtual segons la normativa RFC 2616.
Què hi ha de nou a Apache HTTP 2.4.52?
En aquesta nova versió del servidor podrem trobar que es va afegir el suport per construir amb la biblioteca OpenSSL 3 a mod_ssl, a més que la detecció va ser millorada a la biblioteca OpenSSL en scripts d'autoconf.
Una altra de les novetats que es destaca d'aquesta nova versió és al mod_proxy per a protocols de tunelització, és possible desactivar la redirecció de connexions TCP mig tancades configurant el paràmetre «SetEnv proxy-nohalfclose».
En mod_proxy_connect i mod_proxy està prohibit canviar el codi d'estat després d'enviar-ho al client.
Mentre que a mod_dav afegeix suport per a extensions CalDAV, que han de tenir en compte tant els elements del document com els de la propietat en generar una propietat. Es van afegir noves funcions dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() i dav_find_attr(), que es poden anomenar des d'altres mòduls.
En mod_http2, s'han corregit els canvis regressius que condueixen a un comportament incorrecte en manejar les restriccions MaxRequestsPerChild i MaxConnectionsPerChild.
També es destaca que s'han ampliat les capacitats del mòdul mod_md, utilitzat per automatitzar la recepció i el manteniment de certificats mitjançant el protocol ACME (Entorn de gestió automàtica de certificats):
Es va afegir suport per al mecanisme ACME External Account Binding (EAB), que s'habilita mitjançant la directiva MDExternalAccountBinding. Els valors per a l'EAB es poden configurar des d'un fitxer JSON extern perquè els paràmetres d'autenticació no quedin exposats al fitxer de configuració del servidor principal.
la directiva 'MDCertificateAuthority' proporciona la verificació de la indicació al paràmetre d'URL http/https o un dels noms predefinits ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' i 'Buypass-Test').
Dels altres canvis que es destaquen d'aquesta nova versió:
- Es van afegir comprovacions addicionals que els URI que no estan destinats al proxy contenen l'esquema http/https, però els que estan destinats al proxy contenen el nom de host.
- L'enviament de respostes provisionals després de rebre sol·licituds amb l'encapçalament “Expect:100-Continue” es proporciona per indicar el resultat de l'estat “100 Continue” en lloc de l'estat actual de la sol·licitud.
- Mpm_event resol el problema d'aturar els processos secundaris inactius després d'un pic a la càrrega del servidor.
- Es permet especificar la directiva MDContactEmail dins de la secció .
- S'han corregit diversos errors, inclosa una pèrdua de memòria que es produeix quan una clau privada no es carrega.
Quant a les vulnerabilitats que van ser solucionades en aquesta nova versió s'esmenta el següent:
- CVE 2021-44790 : desbordament de memòria intermèdia a mod_lua, sol·licituds d'anàlisi manifestades , que consta de diverses parts (multipart). La vulnerabilitat afecta les configuracions en què els scripts de Lua criden a la funció r: parsebody () per analitzar el cos de la sol·licitud i permetre que un atacant aconsegueixi un desbordament del memòria intermèdia enviant una sol·licitud especialment dissenyada. Els fets de la presència d'un exploit encara no s'han identificat, però potencialment el problema pot portar a l'execució del codi al servidor.
- Vulnerabilitat SSRF (Server Side Request Forgery): a mod_proxy, que permet, en configuracions amb l'opció «ProxyRequests on», mitjançant una sol·licitud d'un URI especialment format, redirigir la sol·licitud a un altre controlador al mateix servidor que accepta connexions a través d'un socket de domini Unix. El problema també es pot fer servir per provocar un bloqueig creant condicions per eliminar la referència a un punter nul. El problema afecta les versions httpd d'Apache des de 2.4.7.
Finalment si estàs interessat a poder conèixer més sobre aquesta nova versió alliberada, pots consultar els detalls a el següent enllaç.