며칠 전 Apache HTTP 2.4.52 서버의 새 버전 릴리스가 발표되었습니다. 약 25개의 변경이 있었고 추가로 수정된 것은 2개의 취약점입니다.
Apache HTTP 서버를 아직 모르는 분들은 RFC 1.1 표준에 따라 HTTP / 2616 프로토콜과 가상 사이트 개념을 구현하는 오픈 소스, 크로스 플랫폼 HTTP 웹 서버라는 것을 알아야 합니다.
Apache HTTP 2.4.52의 새로운 기능은 무엇입니까?
이 새 버전의 서버에서는 다음을 찾을 수 있습니다. mod_ssl에서 OpenSSL 3 라이브러리로 빌드 지원 추가또한 autoconf 스크립트의 OpenSSL 라이브러리에서 감지 기능이 향상되었습니다.
이 새 버전에서 눈에 띄는 또 다른 참신함은 mod_proxy 터널링 프로토콜의 경우 TCP 연결 리디렉션을 비활성화할 수 있습니다. "SetEnv proxy-nohalfclose" 매개변수를 설정하여 절반을 닫았습니다.
En mod_proxy_connect 및 mod_proxy, 상태 코드 변경 금지 고객에게 보낸 후.
동안 mod_dav는 CalDAV 확장에 대한 지원을 추가합니다. 속성을 생성할 때 문서와 속성 요소를 모두 고려해야 합니다. 다른 모듈에서 호출할 수 있는 새로운 dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() 및 dav_find_attr() 함수가 추가되었습니다.
En mod_http2, 잘못된 동작으로 이어지는 역방향 변경이 수정되었습니다. MaxRequestsPerChild 및 MaxConnectionsPerChild 제약 조건을 처리할 때.
또한 ACME 프로토콜(자동 인증서 관리 환경)을 통해 인증서 수신 및 유지 관리를 자동화하는 데 사용되는 mod_md 모듈의 기능이 확장되었음을 알 수 있습니다.
ACME 메커니즘에 대한 지원 추가 MDExternalAccountBinding 지시문에 의해 활성화되는 외부 계정 바인딩(EAB). EAB의 값은 외부 JSON 파일에서 구성하여 인증 매개변수가 주 서버 구성 파일에 노출되지 않도록 할 수 있습니다.
지령 'MDCertificateAuthority'는 다음을 확인합니다. url 매개변수의 표시 http / https 또는 미리 정의된 이름 중 하나('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' 및 'Buypass-Test').
이 새 버전에서 눈에 띄는 다른 변경 사항은 다음과 같습니다.
- 프록시로 향하지 않는 URI에는 http/https 체계가 포함되지만 프록시로 향하는 URI에는 호스트 이름이 포함되는지 확인하는 추가 검사가 추가되었습니다.
- 헤더가 "Expect: 100-Continue"인 요청을 수신한 후 중간 응답을 보내는 것은 요청의 현재 상태 대신 "100 Continue" 상태의 결과를 나타내기 위해 제공됩니다.
- Mpm_event는 서버 부하가 급증한 후 비활성 자식 프로세스를 중지하는 문제를 해결합니다.
- 섹션 내에서 MDContactEmail 지시문을 지정할 수 있습니다. .
- 개인 키가 로드되지 않을 때 발생하는 메모리 누수를 포함하여 여러 버그가 수정되었습니다.
로 수정된 취약점 이 새 버전에서는 다음이 언급됩니다.
- CVE 2021-44790: mod_lua의 버퍼 오버플로, 구문 분석 요청이 명시되어 있으며, 여러 부분(다중 부분)으로 구성되어 있습니다. 취약점은 Lua 스크립트가 r: parsebody() 함수를 호출하여 요청 본문을 구문 분석하고 공격자가 특수하게 조작된 요청을 보내 버퍼 오버플로를 달성할 수 있도록 하는 구성에 영향을 줍니다. 익스플로잇이 존재한다는 사실은 아직 확인되지 않았지만 잠재적으로 문제로 인해 서버에서 코드가 실행될 수 있습니다.
- SSRF 취약점 (서버 측 요청 위조): mod_proxy에서 "ProxyRequests on" 옵션이 있는 구성에서 특별히 형성된 URI의 요청을 통해 소켓 Unix를 통해 연결을 수락하는 동일한 서버의 다른 컨트롤러로 요청을 리디렉션할 수 있습니다. 도메인. 문제는 null 포인터에 대한 참조를 제거하는 조건을 만들어 충돌을 일으키는 데 사용될 수도 있습니다. 이 문제는 2.4.7 이후 Apache의 httpd 버전에 영향을 줍니다.
마지막으로, 이 새로운 릴리스 버전에 대해 더 알고 싶다면 다음에서 세부 정보를 확인할 수 있습니다. 다음 링크.