Useita päiviä sitten Apache HTTP 2.4.52 -palvelimen uuden version julkaisu julkistettiin johon tehtiin noin 25 muutosta ja lisäksi tehtiin korjaus, on 2 haavoittuvuutta.
Niiden, jotka eivät vielä ole tietoisia Apache HTTP -palvelimesta, heidän tulee tietää, että tämä on avoimen lähdekoodin, monialustainen HTTP-verkkopalvelin, joka toteuttaa HTTP / 1.1 -protokollan ja virtuaalisivuston käsitteen RFC 2616 -standardin mukaisesti.
Mitä uutta Apache HTTP 2.4.52:ssa?
Tästä palvelimen uudesta versiosta voimme löytää sen lisätty tuki rakentamiseen OpenSSL 3 -kirjastolla mod_ssl:ssäLisäksi Autoconf-skriptien OpenSSL-kirjaston tunnistusta parannettiin.
Toinen uutuus, joka erottuu tässä uudessa versiossa, on mod_proxy tunnelointiprotokollia varten, TCP-yhteyksien uudelleenohjaus voidaan poistaa käytöstä puolisuljettu asettamalla "SetEnv proxy-nohalfclose" -parametri.
En mod_proxy_connect ja mod_proxy, tilakoodin muuttaminen on kielletty lähetettyään sen asiakkaalle.
Kun olet mod_dav lisää tuen CalDAV-laajennuksille, Tämän on otettava huomioon sekä dokumentti- että ominaisuuselementit ominaisuutta luotaessa. Uusia dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () ja dav_find_attr () -funktioita on lisätty, joita voidaan kutsua muista moduuleista.
En mod_http2, virheelliseen toimintaan johtaneet taaksepäin muutokset on korjattu käsiteltäessä MaxRequestsPerChild- ja MaxConnectionsPerChild-rajoitteita.
On myös huomattava, että mod_md-moduulin ominaisuuksia, joita käytetään automatisoimaan varmenteiden vastaanotto ja ylläpito ACME-protokollan (Automatic Certificate Management Environment) kautta, on laajennettu:
Lisätty tuki ACME-mekanismille External Account Binding (EAB), joka on otettu käyttöön MDExternalAccountBinding-direktiivillä. EAB:n arvot voidaan määrittää ulkoisesta JSON-tiedostosta, jotta todennusparametrit eivät näy pääpalvelimen konfiguraatiotiedostossa.
Direktiivi 'MDCertificateAuthority' varmistaa url-parametrin merkintä http / https tai jokin ennalta määritetyistä nimistä ("LetsEncrypt", "LetsEncrypt-Test", "Buypass" ja "Buypass-Test").
Muista muutoksista, jotka erottuvat tässä uudessa versiossa:
- Lisätty lisätarkistuksia, että URI:t, joita ei ole tarkoitettu välityspalvelimelle, sisältävät http / https -mallin, mutta välityspalvelimelle tarkoitetut sisältävät isäntänimen.
- Väliaikaisten vastausten lähettäminen "Odota: 100-Jatka"-otsikon sisältävien pyyntöjen vastaanottamisen jälkeen on tarkoitettu osoittamaan "100 Continue" -tilan tulos pyynnön nykyisen tilan sijaan.
- Mpm_event ratkaisee ongelman, joka liittyy ei-aktiivisten lapsiprosessien pysäyttämiseen palvelimen kuormituspiikin jälkeen.
- MDContactEmail-direktiivin määrittäminen on sallittua osiossa .
- Useita virheitä on korjattu, mukaan lukien muistivuoto, joka tapahtuu, kun yksityistä avainta ei ladata.
suhteen haavoittuvuuksia, jotka korjattiin tässä uudessa versiossa mainitaan seuraava:
- CVE 2021-44790: Puskurin ylivuoto mod_luassa, jäsennyspyynnöt ilmenneet, koostuvat useista osista (moniosainen). Haavoittuvuus vaikuttaa kokoonpanoihin, joissa Lua-komentosarjat kutsuvat r: parsebody () -funktiota jäsentämään pyynnön rungon ja sallimaan hyökkääjän saavuttaa puskurin ylivuodon lähettämällä erityisesti muodostetun pyynnön. Tosiasiat hyväksikäytön olemassaolosta ei ole vielä tunnistettu, mutta mahdollisesti ongelma voi johtaa koodisi suorittamiseen palvelimella.
- SSRF-haavoittuvuus (Server Side Request Forgery): mod_proxyssa, joka mahdollistaa konfiguraatioissa "ProxyRequests on" -vaihtoehdon avulla erityisesti muodostetun URI:n pyynnön kautta pyynnön uudelleenohjauksen toiseen ohjaimeen samalla palvelimella, joka hyväksyy yhteydet socketin Unixin kautta. verkkotunnus. Ongelmaa voidaan käyttää myös kaatumisen aiheuttamiseen luomalla ehtoja viittauksen poistamiseksi nollaosoittimeen. Ongelma koskee Apachen httpd-versioita versiosta 2.4.7 lähtien.
Lopuksi, jos olet kiinnostunut tietämään lisää tästä uudesta julkaistusta versiosta, voit tarkistaa tiedot seuraava linkki.