Πριν από αρκετές ημέρες ανακοίνωσε την κυκλοφορία της νέας έκδοσης του διακομιστή HTTP Apache 2.4.52 στο οποίο έγιναν περίπου 25 αλλαγές και ότι έγινε και η διόρθωση είναι 2 τρωτά σημεία.
Για όσους δεν γνωρίζουν ακόμη τον διακομιστή HTTP Apache, θα πρέπει να γνωρίζετε ότι πρόκειται για έναν διακομιστή web HTTP ανοιχτού κώδικα, πολλαπλών πλατφορμών που υλοποιεί το πρωτόκολλο HTTP/1.1 και την έννοια του εικονικού ιστότοπου σύμφωνα με το RFC 2616.
Τι νέο υπάρχει στο Apache HTTP 2.4.52;
Σε αυτή τη νέα έκδοση του διακομιστή μπορούμε να το βρούμε αυτό πρόσθεσε υποστήριξη για δημιουργία με τη βιβλιοθήκη OpenSSL 3 στο mod_ssl, καθώς και η ανίχνευση βελτιώθηκε στη βιβλιοθήκη OpenSSL σε σενάρια αυτόματης ρύθμισης.
Μια άλλη καινοτομία που ξεχωρίζει σε αυτή τη νέα έκδοση είναι στο mod_proxy για πρωτόκολλα διάνοιξης σήραγγας, είναι δυνατό να απενεργοποιήσετε την ανακατεύθυνση των συνδέσεων TCP μισό κλείσιμο ορίζοντας την παράμετρο "SetEnv proxy-nohalfclose".
En mod_proxy_connect και mod_proxy, απαγορεύεται η αλλαγή του κωδικού κατάστασης μετά την αποστολή του στον πελάτη.
Ενώ βρίσκεστε στο Το mod_dav προσθέτει υποστήριξη για επεκτάσεις CalDAV, το οποίο πρέπει να λαμβάνει υπόψη τόσο τα στοιχεία του εγγράφου όσο και τα στοιχεία ιδιοκτησίας κατά τη δημιουργία ενός ακινήτου. Προστέθηκαν νέες συναρτήσεις dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() και dav_find_attr(), οι οποίες μπορούν να κληθούν από άλλες λειτουργικές μονάδες.
En mod_http2, διόρθωσε παλινδρομικές αλλαγές που οδηγούσαν σε εσφαλμένη συμπεριφορά με το χειρισμό των περιορισμών MaxRequestsPerChild και MaxConnectionsPerChild.
Αξίζει επίσης να σημειωθεί ότι οι δυνατότητες της ενότητας mod_md έχουν επεκταθεί και χρησιμοποιείται για την αυτοματοποίηση της λήψης και συντήρησης πιστοποιητικών μέσω του πρωτοκόλλου ACME (Automatic Certificate Management Environment):
Προστέθηκε υποστήριξη για τον μηχανισμό ACME Εξωτερική σύνδεση λογαριασμού (EAB), η οποία είναι ενεργοποιημένη από την οδηγία MDExternalAccountBinding. Οι τιμές για το EAB μπορούν να διαμορφωθούν από ένα εξωτερικό αρχείο JSON έτσι ώστε οι παράμετροι ελέγχου ταυτότητας να μην εκτίθενται στο αρχείο διαμόρφωσης του κύριου διακομιστή.
Διευθυντικός Το "MDCertificateAuthority" παρέχει επαλήθευση την ένδειξη στην παράμετρο URL http/https ή ένα από τα προκαθορισμένα ονόματα ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' και 'Buypass-Test').
Από τις άλλες αλλαγές που ξεχωρίζουν σε αυτή τη νέα έκδοση:
- Προστέθηκαν πρόσθετοι έλεγχοι ότι τα URI που δεν προορίζονται για τον διακομιστή μεσολάβησης περιέχουν το σχήμα http/https, αλλά αυτά που προορίζονται για τον διακομιστή μεσολάβησης περιέχουν το όνομα κεντρικού υπολογιστή.
- Η αποστολή προσωρινών απαντήσεων μετά τη λήψη αιτημάτων με την κεφαλίδα "Expect:100-Continue" παρέχεται για να υποδείξει το αποτέλεσμα της κατάστασης "100 Continue" αντί για την τρέχουσα κατάσταση του αιτήματος.
- Το Mpm_event επιλύει το πρόβλημα της διακοπής των αδρανών θυγατρικών διεργασιών μετά από μια απότομη αύξηση του φόρτου του διακομιστή.
- Επιτρέπεται ο καθορισμός της οδηγίας MDContactEmail εντός της ενότητας .
- Διορθώθηκαν διάφορα σφάλματα, συμπεριλαμβανομένης της διαρροής μνήμης που προκύπτει όταν ένα ιδιωτικό κλειδί αποτυγχάνει να φορτώσει.
Σχετικά με ευπάθειες που επιδιορθώθηκαν Στη νέα αυτή έκδοση αναφέρονται τα εξής:
- CVE 2021-44790: υπερχείλιση buffer στο mod_lua, εκδηλωμένα αιτήματα ανάλυσης, που αποτελούνται από πολλά μέρη (πολυμερή). Η ευπάθεια επηρεάζει διαμορφώσεις στις οποίες τα σενάρια Lua καλούν τη συνάρτηση r:parsebody() για να αναλύσει το σώμα αιτήματος και να επιτρέψει σε έναν εισβολέα να επιτύχει υπερχείλιση buffer στέλνοντας ένα ειδικά διαμορφωμένο αίτημα. Τα γεγονότα της παρουσίας ενός exploit δεν έχουν ακόμη εντοπιστεί, αλλά πιθανώς το πρόβλημα μπορεί να οδηγήσει στην εκτέλεση του κώδικά σας στον διακομιστή.
- Ευπάθεια SSRF (Server Side Request Forgery): στο mod_proxy, το οποίο επιτρέπει, σε διαμορφώσεις με την επιλογή "ProxyRequests on", μέσω ενός ειδικά διαμορφωμένου URI αιτήματος, να ανακατευθύνει το αίτημα σε έναν άλλο ελεγκτή στον ίδιο διακομιστή που δέχεται συνδέσεις μέσω ενός τομέα Unix υποδοχής. Το πρόβλημα μπορεί επίσης να χρησιμοποιηθεί για την πρόκληση συντριβής δημιουργώντας συνθήκες για την αποαναφορά ενός μηδενικού δείκτη. Το πρόβλημα επηρεάζει τις εκδόσεις httpd του Apache από την 2.4.7.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτήν τη νέα έκδοση που κυκλοφόρησε, μπορείτε να ελέγξετε τις λεπτομέρειες στο τον ακόλουθο σύνδεσμο.