Mitu päeva tagasi teatati Apache HTTP 2.4.52 serveri uue versiooni väljalaskmisest milles tehti ca 25 muudatust ja lisaks tehti parandus on 2 haavatavus.
Need, kes pole Apache HTTP-serverist veel teadlikud, peaksid teadma, et see on avatud lähtekoodiga platvormideülene HTTP-veebiserver, mis rakendab HTTP / 1.1 protokolli ja virtuaalse saidi mõistet vastavalt RFC 2616 standardile.
Mis on Apache HTTP 2.4.52-s uut?
Sellest serveri versioonist leiame selle lisatud tugi mod_ssl-is OpenSSL 3 teegiga ehitamiseksLisaks täiustati tuvastamist OpenSSL teegis autoconf skriptides.
Veel üks uudsus, mis selles uues versioonis silma paistab, on mod_proxy tunneldamisprotokollide jaoks, TCP-ühenduste ümbersuunamise on võimalik keelata pooleldi suletud, määrates parameetri "SetEnv proxy-nohalfclose".
En mod_proxy_connect ja mod_proxy, on olekukoodi muutmine keelatud pärast kliendile saatmist.
Kuigi mod_dav lisab CalDAV-laiendite toe, Mis peab atribuudi genereerimisel arvestama nii dokumendi kui ka atribuudi elementidega. Lisatud on uued funktsioonid dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () ja dav_find_attr (), mida saab kutsuda teistest moodulitest.
En mod_http2, on parandatud tagasiulatuvad muudatused, mis põhjustavad ebaõiget käitumist piirangute MaxRequestsPerChild ja MaxConnectionsPerChild käsitlemisel.
Samuti tuleb märkida, et mooduli mod_md võimalusi, mida kasutatakse sertifikaatide vastuvõtmise ja hoolduse automatiseerimiseks ACME protokolli (Automatic Certificate Management Environment) kaudu, on laiendatud:
Lisatud tugi ACME mehhanismile Väline konto sidumine (EAB), mis on lubatud MDExternalAccountBinding direktiiviga. EAB väärtusi saab konfigureerida välisest JSON-failist, nii et autentimisparameetreid ei avaldata põhiserveri konfiguratsioonifailis.
Direktiiv „MDCertificateAuthority” annab kinnituse märge url-i parameetris http / https või üks eelmääratletud nimedest ("LetsEncrypt", "LetsEncrypt-Test", "Buypass" ja "Buypass-Test").
Muudest muudatustest, mis selles uues versioonis silma paistavad:
- Lisatud on täiendavad kontrollid, et URI-d, mis pole puhverserveri jaoks mõeldud, sisaldavad skeemi http / https, kuid need, mis on mõeldud puhverserveri jaoks, sisaldavad hostinime.
- Vahevastuste saatmine pärast päringute saamist päisega "Oodata: 100-jätka" on ette nähtud päringu praeguse oleku asemel oleku "100 Jätka" tulemuse näitamiseks.
- Mpm_event lahendab mitteaktiivsete alamprotsesside peatamise probleemi pärast serveri koormuse suurenemist.
- Jaotises on lubatud määrata MDContactEmail käskkiri .
- Parandatud on mitu viga, sealhulgas mäluleke, mis ilmneb privaatvõtme laadimata jätmisel.
Kuna haavatavused, mis parandati selles uues versioonis mainitakse järgmist:
- CVE 2021-44790: Mod_lua puhvri ületäitumine, parsimistaotlused on avaldatud, mis koosneb mitmest osast (mitmeosaline). Haavatavus mõjutab konfiguratsioone, milles Lua skriptid kutsuvad funktsiooni r: parsebody (), et sõeluda päringu keha ja võimaldada ründajal saavutada puhvri ületäitumine, saates spetsiaalselt koostatud päringu. Ärakasutamise faktid on veel tuvastamata, kuid võimalik, et probleem võib viia teie koodi käivitamiseni serveris.
- SSRF haavatavus (Server Side Request Forgery): mod_proxy-s, mis võimaldab suvandiga "ProxyRequests on" konfiguratsioonides spetsiaalselt moodustatud URI päringu kaudu päringu ümber suunata teisele kontrollerile samas serveris, mis aktsepteerib ühendusi läbi pesa Unix domeeni. Probleemi saab kasutada ka krahhi tekitamiseks, luues tingimused nullkursori viite eemaldamiseks. Probleem mõjutab Apache httpd-versioone alates versioonist 2.4.7.
Lõpuks, kui soovite selle uue välja antud versiooni kohta rohkem teada saada, saate üksikasju vaadata järgmine link.