Prije nekoliko dana najavljeno je izlazak nove verzije poslužitelja Apache HTTP 2.4.52 u kojem je napravljeno oko 25 izmjena i uz to je izvršena korekcija od 2 ranjivosti.
Za one koji još uvijek nisu svjesni Apache HTTP poslužitelja, trebali bi znati da je ovo open source, cross-platform HTTP web poslužitelj koji implementira HTTP/1.1 protokol i pojam virtualne stranice prema standardu RFC 2616.
Što je novo u Apache HTTP 2.4.52?
U ovoj novoj verziji poslužitelja to možemo pronaći dodana podrška za izgradnju s bibliotekom OpenSSL 3 u mod_sslOsim toga, detekcija je poboljšana u OpenSSL biblioteci u autoconf skriptama.
Još jedan novitet koji se ističe u ovoj novoj verziji je u mod_proxy za protokole za tuneliranje, moguće je onemogućiti preusmjeravanje TCP veza napola zatvoren postavljanjem parametra "SetEnv proxy-nohalfclose".
En mod_proxy_connect i mod_proxy, zabranjeno je mijenjati statusni kod nakon što ga pošalje kupcu.
Dok je u mod_dav dodaje podršku za CalDAV proširenja, Koji mora uzeti u obzir i dokument i elemente svojstva prilikom generiranja svojstva. Dodane su nove funkcije dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () i dav_find_attr (), koje se mogu pozvati iz drugih modula.
En mod_http2, popravljene su promjene unatrag koje dovode do netočnog ponašanja pri rukovanju ograničenjima MaxRequestsPerChild i MaxConnectionsPerChild.
Također se napominje da su proširene mogućnosti modula mod_md, koji se koristi za automatizaciju prijema i održavanja certifikata putem ACME protokola (Automatic Certificate Management Environment):
Dodana podrška za ACME mehanizam External Account Binding (EAB), što je omogućeno direktivom MDExternalAccountBinding. Vrijednosti za EAB mogu se konfigurirati iz vanjske JSON datoteke tako da parametri provjere autentičnosti ne budu izloženi u glavnoj konfiguracijskoj datoteci poslužitelja.
Direktiva 'MDCertificateAuthority' pruža provjeru naznaku u parametru url http / https ili jedan od unaprijed definiranih naziva ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' i 'Buypass-Test').
Od ostalih promjena koje se ističu u ovoj novoj verziji:
- Dodane su dodatne provjere da URI-ji koji nisu namijenjeni proxy-ju sadrže http/https shemu, ali oni koji su namijenjeni proxy-ju sadrže ime hosta.
- Slanje privremenih odgovora nakon primanja zahtjeva sa zaglavljem "Očekujte: 100-Nastavi" daje se kako bi se naznačio rezultat statusa "100 Nastavi" umjesto trenutnog statusa zahtjeva.
- Mpm_event rješava problem zaustavljanja neaktivnih podređenih procesa nakon naglog opterećenja poslužitelja.
- Dopušteno je navesti MDContactEmail direktivu unutar odjeljka .
- Ispravljeno je nekoliko bugova, uključujući curenje memorije koje se događa kada se privatni ključ ne učita.
Kao ranjivosti koje su popravljene u ovoj novoj verziji spominje se sljedeće:
- CVE 2021-44790: Prelijevanje međuspremnika u mod_lua, očitovani zahtjevi za raščlanjivanje, koji se sastoje od više dijelova (višedijelnih). Ranjivost utječe na konfiguracije u kojima Lua skripte pozivaju funkciju r: parsebody () kako bi raščlanile tijelo zahtjeva i omogućile napadaču da postigne prelijevanje međuspremnika slanjem posebno izrađenog zahtjeva. Činjenice o prisutnosti eksploatacije tek treba identificirati, ali potencijalno problem može dovesti do izvršavanja vašeg koda na poslužitelju.
- SSRF ranjivost (Falsifikovanje zahtjeva na strani poslužitelja): u mod_proxy, koji omogućuje, u konfiguracijama s opcijom "ProxyRequests on", putem zahtjeva iz posebno formiranog URI-ja, preusmjeravanje zahtjeva na drugi kontroler na istom poslužitelju koji prihvaća veze putem utičnice Unix domena. Problem se također može koristiti za izazivanje rušenja stvaranjem uvjeta za uklanjanje reference na nulti pokazivač. Problem utječe na httpd verzije Apachea od 2.4.7.
Konačno, ako ste zainteresirani za više informacija o ovoj novoj izdanoj verziji, možete provjeriti detalje sljedeći link.