Apache HTTP 2.4.52 a résolu 2 vulnérabilités et plusieurs changements

Darkcrizt

Minutes 4

Il y a plusieurs jours la sortie de la nouvelle version du serveur Apache HTTP 2.4.52 a été annoncée dans lequel environ 25 modifications ont été apportées et en plus la correction a été apportée est de 2 vulnérabilités.

Pour ceux qui ne connaissent pas encore le serveur HTTP Apache, sachez qu'il s'agit d'un serveur web HTTP open source, multiplateforme qui implémente le protocole HTTP/1.1 et la notion de site virtuel selon la norme RFC 2616.

Quoi de neuf dans Apache HTTP 2.4.52 ?

Dans cette nouvelle version du serveur, nous pouvons trouver que ajout de la prise en charge de la construction avec la bibliothèque OpenSSL 3 dans mod_sslDe plus, la détection a été améliorée dans la bibliothèque OpenSSL dans les scripts d'autoconf.

Une autre nouveauté qui se démarque dans cette nouvelle version est dans le mod_proxy pour les protocoles de tunneling, il est possible de désactiver la redirection des connexions TCP à moitié fermé en définissant le paramètre "SetEnv proxy-nohalfclose".

En mod_proxy_connect et mod_proxy, il est interdit de changer le code d'état après l'avoir envoyé au client.

Alors que en mod_dav ajoute la prise en charge des extensions CalDAV, Qui doit prendre en compte à la fois les éléments de document et de propriété lors de la génération d'une propriété. De nouvelles fonctions dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () et dav_find_attr () ont été ajoutées et peuvent être appelées à partir d'autres modules.

En mod_http2, les changements en arrière conduisant à un comportement incorrect ont été corrigés lors de la gestion des contraintes MaxRequestsPerChild et MaxConnectionsPerChild.

On note également que les capacités du module mod_md, utilisé pour automatiser la réception et la maintenance des certificats via le protocole ACME (Automatic Certificate Management Environment), ont été étendues :

Ajout de la prise en charge du mécanisme ACME Liaison de compte externe (EAB), qui est activée par la directive MDExternalAccountBinding. Les valeurs de l'EAB peuvent être configurées à partir d'un fichier JSON externe afin que les paramètres d'authentification ne soient pas exposés dans le fichier de configuration du serveur principal.

Directif « MDCertificateAuthority » fournit la vérification de l'indication dans le paramètre url http/https ou l'un des noms prédéfinis ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' et 'Buypass-Test').

Parmi les autres changements qui ressortent de cette nouvelle version :

  • Ajout de vérifications supplémentaires que les URI qui ne sont pas destinés au proxy contiennent le schéma http / https, mais que ceux qui sont destinés au proxy contiennent le nom d'hôte.
  • L'envoi de réponses provisoires après réception de demandes avec l'en-tête « Expect : 100-Continue » est fourni pour indiquer le résultat de l'état « 100 Continuer » au lieu de l'état actuel de la demande.
  • Mpm_event résout le problème de l'arrêt des processus enfants inactifs après un pic de charge du serveur.
  • Il est permis de spécifier la directive MDContactEmail dans la section .
  • Plusieurs bogues ont été corrigés, notamment une fuite de mémoire qui se produit lorsqu'une clé privée n'est pas chargée.

Quant à la vulnérabilités qui ont été corrigées dans cette nouvelle version, il est mentionné ce qui suit :

  • CVE 2021-44790 : Débordement de tampon dans mod_lua, requêtes d'analyse se manifestant, constituées de plusieurs parties (multipart). La vulnérabilité affecte les configurations dans lesquelles les scripts Lua appellent la fonction r: parsebody() pour analyser le corps de la requête et permettre à un attaquant de provoquer un débordement de tampon en envoyant une requête spécialement conçue. Les faits de la présence d'un exploit n'ont pas encore été identifiés, mais potentiellement le problème peut conduire à l'exécution de votre code sur le serveur.
  • Vulnérabilité SSRF (Server Side Request Forgery) : dans mod_proxy, qui permet, dans les configurations avec l'option "ProxyRequests on", via une requête d'un URI spécialement formé, de rediriger la requête vers un autre contrôleur sur le même serveur qui accepte les connexions via un socket Unix domaine. Le problème peut également être utilisé pour provoquer un plantage en créant des conditions pour supprimer la référence à un pointeur nul. Le problème affecte les versions httpd d'Apache depuis la 2.4.7.

Enfin, si vous souhaitez en savoir plus sur cette nouvelle version, vous pouvez vérifier les détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.