Apache HTTP 2.4.52는 2개의 취약점과 몇 가지 변경 사항을 해결했습니다.

Darkcrizt

4 분

며칠 전 Apache HTTP 2.4.52 서버의 새 버전 릴리스가 발표되었습니다. 약 25개의 변경이 있었고 추가로 수정된 것은 2개의 취약점입니다.

Apache HTTP 서버를 아직 모르는 분들은 RFC 1.1 표준에 따라 HTTP / 2616 프로토콜과 가상 사이트 개념을 구현하는 오픈 소스, 크로스 플랫폼 HTTP 웹 서버라는 것을 알아야 합니다.

Apache HTTP 2.4.52의 새로운 기능은 무엇입니까?

이 새 버전의 서버에서는 다음을 찾을 수 있습니다. mod_ssl에서 OpenSSL 3 라이브러리로 빌드 지원 추가또한 autoconf 스크립트의 OpenSSL 라이브러리에서 감지 기능이 향상되었습니다.

이 새 버전에서 눈에 띄는 또 다른 참신함은 mod_proxy 터널링 프로토콜의 경우 TCP 연결 리디렉션을 비활성화할 수 있습니다. "SetEnv proxy-nohalfclose" 매개변수를 설정하여 절반을 닫았습니다.

En mod_proxy_connect 및 mod_proxy, 상태 코드 변경 금지 고객에게 보낸 후.

동안 mod_dav는 CalDAV 확장에 대한 지원을 추가합니다. 속성을 생성할 때 문서와 속성 요소를 모두 고려해야 합니다. 다른 모듈에서 호출할 수 있는 새로운 dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() 및 dav_find_attr() 함수가 추가되었습니다.

En mod_http2, 잘못된 동작으로 이어지는 역방향 변경이 수정되었습니다. MaxRequestsPerChild 및 MaxConnectionsPerChild 제약 조건을 처리할 때.

또한 ACME 프로토콜(자동 인증서 관리 환경)을 통해 인증서 수신 및 유지 관리를 자동화하는 데 사용되는 mod_md 모듈의 기능이 확장되었음을 알 수 있습니다.

ACME 메커니즘에 대한 지원 추가 MDExternalAccountBinding 지시문에 의해 활성화되는 외부 계정 바인딩(EAB). EAB의 값은 외부 JSON 파일에서 구성하여 인증 매개변수가 주 서버 구성 파일에 노출되지 않도록 할 수 있습니다.

지령 'MDCertificateAuthority'는 다음을 확인합니다. url 매개변수의 표시 http / https 또는 미리 정의된 이름 중 하나('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' 및 'Buypass-Test').

이 새 버전에서 눈에 띄는 다른 변경 사항은 다음과 같습니다.

  • 프록시로 향하지 않는 URI에는 http/https 체계가 포함되지만 프록시로 향하는 URI에는 호스트 이름이 포함되는지 확인하는 추가 검사가 추가되었습니다.
  • 헤더가 "Expect: 100-Continue"인 요청을 수신한 후 중간 응답을 보내는 것은 요청의 현재 상태 대신 "100 Continue" 상태의 결과를 나타내기 위해 제공됩니다.
  • Mpm_event는 서버 부하가 급증한 후 비활성 자식 프로세스를 중지하는 문제를 해결합니다.
  • 섹션 내에서 MDContactEmail 지시문을 지정할 수 있습니다. .
  • 개인 키가 로드되지 않을 때 발생하는 메모리 누수를 포함하여 여러 버그가 수정되었습니다.

수정된 취약점 이 새 버전에서는 다음이 언급됩니다.

  • CVE 2021-44790: mod_lua의 버퍼 오버플로, 구문 분석 요청이 명시되어 있으며, 여러 부분(다중 부분)으로 구성되어 있습니다. 취약점은 Lua 스크립트가 r: parsebody() 함수를 호출하여 요청 본문을 구문 분석하고 공격자가 특수하게 조작된 요청을 보내 버퍼 오버플로를 달성할 수 있도록 하는 구성에 영향을 줍니다. 익스플로잇이 존재한다는 사실은 아직 확인되지 않았지만 잠재적으로 문제로 인해 서버에서 코드가 실행될 수 있습니다.
  • SSRF 취약점 (서버 측 요청 위조): mod_proxy에서 "ProxyRequests on" 옵션이 있는 구성에서 특별히 형성된 URI의 요청을 통해 소켓 Unix를 통해 연결을 수락하는 동일한 서버의 다른 컨트롤러로 요청을 리디렉션할 수 있습니다. 도메인. 문제는 null 포인터에 대한 참조를 제거하는 조건을 만들어 충돌을 일으키는 데 사용될 수도 있습니다. 이 문제는 2.4.7 이후 Apache의 httpd 버전에 영향을 줍니다.

마지막으로, 이 새로운 릴리스 버전에 대해 더 알고 싶다면 다음에서 세부 정보를 확인할 수 있습니다. 다음 링크.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.