Prieš kelias dienas buvo paskelbta apie naujos Apache HTTP 2.4.52 serverio versijos išleidimą kuriame buvo padaryti apie 25 pakeitimai ir papildomai atlikta 2 pažeidžiamumo korekcija.
Tie, kurie vis dar nežino apie Apache HTTP serverį, turėtų žinoti, kad tai atvirojo kodo, kelių platformų HTTP žiniatinklio serveris, įgyvendinantis HTTP / 1.1 protokolą ir virtualios svetainės sąvoką pagal RFC 2616 standartą.
Kas naujo Apache HTTP 2.4.52?
Šioje naujoje serverio versijoje galime tai rasti pridėtas palaikymas kuriant su OpenSSL 3 biblioteka mod_sslBe to, Autoconf scenarijų OpenSSL bibliotekoje buvo patobulintas aptikimas.
Dar viena naujovė, kuri išsiskiria šioje naujoje versijoje, yra mod_proxy tuneliavimo protokolams, galima išjungti TCP ryšių peradresavimą pusiau uždaryta nustatant parametrą „SetEnv proxy-nohalfclose“.
En mod_proxy_connect ir mod_proxy, būsenos kodą keisti draudžiama išsiuntus jį klientui.
Nors in mod_dav prideda CalDAV plėtinių palaikymą, Kuriant nuosavybę turi būti atsižvelgiama ir į dokumento, ir į nuosavybės elementus. Pridėtos naujos dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () ir dav_find_attr () funkcijos, kurias galima iškviesti iš kitų modulių.
En mod_http2, buvo ištaisyti atgaliniai pakeitimai, lemiantys netinkamą elgesį kai tvarkote MaxRequestsPerChild ir MaxConnectionsPerChild apribojimus.
Taip pat išsiskiria tai, kad modulio mod_md, naudojamo automatizuoti sertifikatų gavimą ir priežiūrą per ACME protokolą (Automatic Certificate Management Environment), galimybės buvo išplėstos:
Pridėtas ACME mechanizmo palaikymas Išorinis paskyros susiejimas (EAB), kurį įgalina MDExternalAccountBinding direktyva. EAB reikšmes galima sukonfigūruoti iš išorinio JSON failo, kad autentifikavimo parametrai nebūtų atskleisti pagrindiniame serverio konfigūracijos faile.
Direktyvą „MDCertificateAuthority“ patvirtina nuoroda url parametre http / https arba vienas iš iš anksto nustatytų pavadinimų („LetsEncrypt“, „LetsEncrypt-Test“, „Buypass“ ir „Buypass-Test“).
Iš kitų pakeitimų, kurie išsiskiria šioje naujoje versijoje:
- Pridėta papildomų patikrų, ar URI, kurie nėra skirti tarpiniam serveriui, turi http / https schemą, o tuose, kurie skirti įgaliotajam serveriui, turi pagrindinio kompiuterio pavadinimą.
- Siunčiant tarpinius atsakymus gavus užklausas su antrašte „Tikėtis: 100-tęsti“, pateikiamas „100 tęsti“ būsenos rezultatas, o ne dabartinė užklausos būsena.
- Mpm_event išsprendžia neaktyvių antrinių procesų sustabdymo problemą po serverio apkrovos šuolio.
- Skiltyje leidžiama nurodyti MDContactEmail direktyvą .
- Buvo ištaisytos kelios klaidos, įskaitant atminties nutekėjimą, kuris atsiranda, kai neįkeliamas privatus raktas.
Apie pažeidžiamumų, kurie buvo ištaisyti šioje naujoje versijoje minima:
- CVE 2021-44790: Buferio perpildymas modulyje mod_lua, pateiktos analizės užklausos, susidedančios iš kelių dalių (daugelio dalių). Pažeidžiamumas paveikia konfigūracijas, kuriose Lua scenarijai iškviečia funkciją r: parsebody (), kad išanalizuoti užklausos turinį ir leisti užpuolikui pasiekti buferio perpildymą siunčiant specialiai sukurtą užklausą. Išnaudojimo faktai dar nenustatyti, tačiau gali būti, kad dėl problemos jūsų kodas gali būti paleistas serveryje.
- SSRF pažeidžiamumas (Server Side Request Forgery): mod_proxy, kuri leidžia konfigūracijose su parinktimi „ProxyRequests on“ per užklausą iš specialiai suformuoto URI peradresuoti užklausą į kitą valdiklį tame pačiame serveryje, kuris priima ryšius per „Unix“ lizdą. domenas. Problema taip pat gali būti naudojama norint sukelti strigtį, sukuriant sąlygas pašalinti nuorodą į nulinę žymeklį. Problema paveikia httpd Apache versijas nuo 2.4.7.
Galiausiai, jei norite sužinoti daugiau apie šią naują išleistą versiją, galite patikrinti išsamią informaciją šią nuorodą.