Beberapa hari lalu rilis versi baru dari server Apache HTTP 2.4.52 diumumkan di mana sekitar 25 perubahan dilakukan dan sebagai tambahan koreksi dilakukan pada 2 kerentanan.
Bagi mereka yang masih belum mengetahui server Apache HTTP, mereka harus tahu bahwa ini adalah open source, server web HTTP lintas platform yang mengimplementasikan protokol HTTP / 1.1 dan gagasan situs virtual sesuai dengan standar RFC 2616.
Apa yang baru di Apache HTTP 2.4.52?
Dalam versi server baru ini kita dapat menemukan bahwa menambahkan dukungan untuk membangun dengan perpustakaan OpenSSL 3 di mod_sslSelain itu, deteksi ditingkatkan di perpustakaan OpenSSL dalam skrip autoconf.
Kebaruan lain yang menonjol dalam versi baru ini adalah di mod_proxy untuk protokol tunneling, dimungkinkan untuk menonaktifkan pengalihan koneksi TCP setengah ditutup dengan mengatur parameter "SetEnv proxy-nohalfclose".
En mod_proxy_connect dan mod_proxy, dilarang mengubah kode status setelah dikirim ke pelanggan.
Saat di mod_dav menambahkan dukungan untuk ekstensi CalDAV, Yang harus mempertimbangkan elemen dokumen dan properti saat membuat properti. Fungsi dav_validate_root_ns() baru, dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() dan dav_find_attr() telah ditambahkan, yang dapat dipanggil dari modul lain.
En mod_http2, perubahan mundur yang mengarah ke perilaku yang salah telah diperbaiki saat menangani batasan MaxRequestsPerChild dan MaxConnectionsPerChild.
Juga menonjol bahwa kemampuan modul mod_md, yang digunakan untuk mengotomatiskan penerimaan dan pemeliharaan sertifikat melalui protokol ACME (Lingkungan Manajemen Sertifikat Otomatis), telah diperluas:
Menambahkan dukungan untuk mekanisme ACME Pengikatan Akun Eksternal (EAB), yang diaktifkan oleh arahan MDExternalAccountBinding. Nilai untuk EAB dapat dikonfigurasi dari file JSON eksternal sehingga parameter otentikasi tidak diekspos di file konfigurasi server utama.
Pengarahan 'MDCertificateAuthority' menyediakan verifikasi indikasi dalam parameter url http / https atau salah satu nama yang telah ditentukan sebelumnya ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' dan 'Buypass-Test').
Dari perubahan lain yang menonjol dalam versi baru ini:
- Menambahkan pemeriksaan tambahan bahwa URI yang tidak ditujukan untuk proxy berisi skema http / https, tetapi yang ditujukan untuk proxy berisi nama host.
- Mengirim tanggapan sementara setelah menerima permintaan dengan tajuk "Berharap: 100-Lanjutkan" disediakan untuk menunjukkan hasil status "100 Lanjutkan" alih-alih status permintaan saat ini.
- Mpm_event memecahkan masalah penghentian proses anak yang tidak aktif setelah lonjakan beban server.
- Diperbolehkan untuk menentukan direktif MDContactEmail di dalam bagian .
- Beberapa bug telah diperbaiki, termasuk kebocoran memori yang terjadi saat kunci pribadi tidak dimuat.
Sebagai kerentanan yang diperbaiki dalam versi baru ini disebutkan hal-hal berikut:
- CVE 2021-44790: Buffer overflow di mod_lua, permintaan parsing diwujudkan, terdiri dari beberapa bagian (multipart). Kerentanan mempengaruhi konfigurasi di mana skrip Lua memanggil fungsi r: parsebody () untuk mengurai badan permintaan dan memungkinkan penyerang mencapai buffer overflow dengan mengirimkan permintaan yang dibuat khusus. Fakta keberadaan eksploitasi belum diidentifikasi, tetapi masalah yang berpotensi dapat menyebabkan kode Anda dieksekusi di server.
- Kerentanan SSRF (Pemalsuan Permintaan Sisi Server): di mod_proxy, yang memungkinkan, dalam konfigurasi dengan opsi "ProxyRequests on", melalui permintaan dari URI yang dibentuk khusus, untuk mengarahkan permintaan ke pengontrol lain di server yang sama yang menerima koneksi melalui soket Unix domain. Masalah juga dapat digunakan untuk menyebabkan crash dengan membuat kondisi untuk menghapus referensi ke pointer null. Masalahnya mempengaruhi versi httpd Apache sejak 2.4.7.
Terakhir, jika Anda tertarik untuk mengetahui lebih banyak tentang versi baru yang dirilis ini, Anda dapat memeriksa detailnya di link berikut.