Néhány nappal ezelőtt bejelentették az Apache HTTP 2.4.52 szerver új verziójának megjelenését amelyben körülbelül 25 módosítást hajtottak végre, és ezen kívül még 2 sebezhetőséget javítottak.
Azok számára, akik még mindig nem ismerik az Apache HTTP szervert, tudniuk kell, hogy ez egy nyílt forráskódú, többplatformos HTTP webszerver, amely a HTTP / 1.1 protokollt és a virtuális webhely fogalmát valósítja meg az RFC 2616 szabvány szerint.
Mi az Apache HTTP 2.4.52 újdonsága?
A szerver új verziójában ezt megtaláljuk hozzáadva a mod_ssl OpenSSL 3 könyvtárával való építkezés támogatásátEzen túlmenően az Autoconf szkriptekben az OpenSSL könyvtárban javították az észlelést.
Egy másik újdonság, amely kiemelkedik ebben az új verzióban, a mod_proxy alagútépítési protokollokhoz, lehetőség van a TCP kapcsolatok átirányításának letiltására félig zárva a "SetEnv proxy-nohalfclose" paraméter beállításával.
En mod_proxy_connect és mod_proxy, az állapotkód megváltoztatása tilos miután elküldte az ügyfélnek.
Miközben A mod_dav támogatja a CalDAV-bővítményeket, Aminek a dokumentum- és tulajdonságelemeket is figyelembe kell vennie egy tulajdonság generálásakor. Új dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () és dav_find_attr () függvények kerültek be, amelyek más modulokból is meghívhatók.
En mod_http2, a helytelen viselkedéshez vezető visszafelé irányuló változtatásokat javítottuk a MaxRequestsPerChild és MaxConnectionsPerChild megszorítások kezelésekor.
Azt is meg kell jegyezni, hogy a mod_md modul képességei, amelyek a tanúsítványok fogadásának és karbantartásának automatizálására szolgálnak az ACME protokollon (Automatic Certificate Management Environment) keresztül, kibővültek:
Hozzáadott támogatás az ACME mechanizmushoz External Account Binding (EAB), amelyet az MDExternalAccountBinding direktíva engedélyez. Az EAB értékei külső JSON-fájlból konfigurálhatók, így a hitelesítési paraméterek nem jelennek meg a fő szerver konfigurációs fájljában.
Irányelv Az 'MDCertificateAuthority' biztosítja a az url paraméterben található jelzés http / https vagy az előre meghatározott nevek egyikét ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' és 'Buypass-Test').
Az új verzió egyéb változásai közül:
- További ellenőrzések hozzáadva, hogy a nem a proxynak szánt URI-k tartalmazzák a http / https sémát, de a proxyhoz szánt URI-k tartalmazzák a gazdagép nevét.
- A „Várható: 100-Folytatás” fejlécű kérések beérkezése utáni időközi válaszok küldése a „100 folytatás” állapot eredményének jelzésére szolgál a kérés jelenlegi állapota helyett.
- Az Mpm_event megoldja az inaktív gyermekfolyamatok leállításának problémáját a kiszolgáló terhelési kiugrása után.
- A szakaszon belül megengedett az MDContactEmail direktíva megadása .
- Számos hibát javítottak, köztük egy memóriaszivárgást, amely akkor fordul elő, ha a privát kulcs nincs betöltve.
Mivel a a kijavított sebezhetőségeket ebben az új verzióban a következők szerepelnek:
- CVE 2021-44790: Puffer túlcsordulás a mod_lua-ban, az elemzési kérelmek megnyilvánultak, több részből áll (többrészes). A biztonsági rés azokat a konfigurációkat érinti, amelyekben a Lua-szkriptek az r: parsebody () függvényt hívják a kérés törzsének elemzéséhez, és lehetővé teszik a támadó számára, hogy puffertúlcsordulást érjen el egy speciálisan kialakított kérés elküldésével. A kihasználás tényét még nem azonosították, de potenciálisan a probléma a kód futtatásához vezethet a szerveren.
- SSRF sebezhetőség (Server Side Request Forgery): a mod_proxyban, amely lehetővé teszi a "ProxyRequests on" opcióval rendelkező konfigurációkban egy speciálisan kialakított URI kérése révén a kérés átirányítását egy másik vezérlőre ugyanazon a szerveren, amely fogadja a kapcsolatokat Unix socketen keresztül tartomány. A probléma összeomlás okozására is használható, ha feltételeket hoz létre a nullmutatóra való hivatkozás eltávolításához. A probléma az Apache httpd verzióit érinti a 2.4.7 óta.
Végül, ha többet szeretne megtudni erről az új verzióról, akkor ellenőrizze a részleteket a következő link.