Diversi giorni fa è stato annunciato il rilascio della nuova versione del server Apache HTTP 2.4.52 in cui sono state apportate circa 25 modifiche e inoltre è stata apportata la correzione di 2 vulnerabilità.
Per coloro che ancora non conoscono il server HTTP Apache, dovrebbero sapere che si tratta di un server Web HTTP open source e multipiattaforma che implementa il protocollo HTTP/1.1 e la nozione di sito virtuale secondo lo standard RFC 2616.
Cosa c'è di nuovo in Apache HTTP 2.4.52?
In questa nuova versione del server possiamo trovare che aggiunto il supporto per la creazione con la libreria OpenSSL 3 in mod_sslInoltre, il rilevamento è stato migliorato nella libreria OpenSSL negli script autoconf.
Un'altra novità che spicca in questa nuova versione è nel mod_proxy per i protocolli di tunneling, è possibile disabilitare il reindirizzamento delle connessioni TCP semichiuso impostando il parametro "SetEnv proxy-nohalfclose".
En mod_proxy_connect e mod_proxy, è vietato modificare il codice di stato dopo averlo inviato al cliente.
Mientras que en mod_dav aggiunge il supporto per le estensioni CalDAV, Che deve tenere in considerazione sia gli elementi del documento che quelli della proprietà quando si genera una proprietà. Sono state aggiunte nuove funzioni dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () e dav_find_attr (), che possono essere chiamate da altri moduli.
En mod_http2, le modifiche all'indietro che portavano a un comportamento errato sono state corrette quando si gestiscono i vincoli MaxRequestsPerChild e MaxConnectionsPerChild.
Si segnala inoltre che le funzionalità del modulo mod_md, utilizzato per automatizzare la ricezione e il mantenimento dei certificati tramite il protocollo ACME (Automatic Certificate Management Environment), sono state ampliate:
Aggiunto supporto per il meccanismo ACME External Account Binding (EAB), abilitato dalla direttiva MDExternalAccountBinding. I valori per l'EAB possono essere configurati da un file JSON esterno in modo che i parametri di autenticazione non siano esposti nel file di configurazione del server principale.
Direttiva 'MDCertificateAuthority' fornisce la verifica di l'indicazione nel parametro url http / https o uno dei nomi predefiniti ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' e 'Buypass-Test').
Delle altre modifiche che spiccano in questa nuova versione:
- Aggiunti ulteriori controlli che gli URI non destinati al proxy contengano lo schema http/https, ma quelli destinati al proxy contengano il nome host.
- L'invio di risposte provvisorie dopo aver ricevuto richieste con l'intestazione "Aspetta: 100-Continua" viene fornito per indicare il risultato dello stato "100 Continua" anziché lo stato corrente della richiesta.
- Mpm_event risolve il problema dell'arresto dei processi figlio inattivi dopo un picco nel carico del server.
- È consentito specificare la direttiva MDContactEmail all'interno della sezione .
- Diversi bug sono stati corretti, inclusa una perdita di memoria che si verifica quando una chiave privata non viene caricata.
Come l' vulnerabilità che sono state risolte in questa nuova versione viene menzionato quanto segue:
- CVE 2021-44790: Buffer overflow in mod_lua, richieste di analisi manifestate, composte da più parti (multipart). La vulnerabilità interessa le configurazioni in cui gli script Lua chiamano la funzione r: parsebody() per analizzare il corpo della richiesta e consentire a un utente malintenzionato di ottenere un buffer overflow inviando una richiesta appositamente predisposta. I fatti della presenza di un exploit devono ancora essere identificati, ma potenzialmente il problema può portare all'esecuzione del codice sul server.
- Vulnerabilità SSRF (Server Side Request Forgery): in mod_proxy, che permette, nelle configurazioni con l'opzione "ProxyRequests on", attraverso una richiesta da un URI appositamente formato, di reindirizzare la richiesta ad un altro controller sullo stesso server che accetta connessioni tramite un socket Unix dominio. Il problema può essere utilizzato anche per causare un arresto anomalo creando condizioni per rimuovere il riferimento a un puntatore null. Il problema riguarda le versioni httpd di Apache dalla 2.4.7.
Infine, se sei interessato a saperne di più su questa nuova versione rilasciata, puoi controllare i dettagli in il seguente collegamento.