Pirms vairākām dienām tika paziņots par Apache HTTP 2.4.52 servera jaunās versijas izlaišanu kurā tika veiktas apmēram 25 izmaiņas un papildus tika veiktas 2 ievainojamības.
Tiem, kuri joprojām nezina par Apache HTTP serveri, viņiem jāzina, ka šis ir atvērtā koda, starpplatformu HTTP tīmekļa serveris, kas ievieš HTTP / 1.1 protokolu un virtuālās vietnes jēdzienu saskaņā ar RFC 2616 standartu.
Kas jauns Apache HTTP 2.4.52?
Šajā jaunajā servera versijā mēs to varam atrast pievienots atbalsts veidošanai ar OpenSSL 3 bibliotēku mod_sslTurklāt OpenSSL bibliotēkā autoconf skriptos tika uzlabota noteikšana.
Vēl viens jaunums, kas izceļas šajā jaunajā versijā, ir mod_proxy tunelēšanas protokoliem, ir iespējams atspējot TCP savienojumu pāradresāciju puse aizvērta, iestatot parametru "SetEnv proxy-nohalfclose".
En mod_proxy_connect un mod_proxy, ir aizliegts mainīt statusa kodu pēc nosūtīšanas klientam.
Kamēr mod_dav pievieno atbalstu CalDAV paplašinājumiem, Kuram, ģenerējot rekvizītu, jāņem vērā gan dokumenta, gan rekvizītu elementi. Ir pievienotas jaunas dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () un dav_find_attr () funkcijas, kuras var izsaukt no citiem moduļiem.
En mod_http2, ir novērstas atpakaļejošas izmaiņas, kas izraisa nepareizu uzvedību apstrādājot ierobežojumus MaxRequestsPerChild un MaxConnectionsPerChild.
Izceļas arī tas, ka mod_md moduļa iespējas, ko izmanto, lai automatizētu sertifikātu saņemšanu un uzturēšanu, izmantojot ACME protokolu (Automatic Certificate Management Environment), ir paplašinātas:
Pievienots atbalsts ACME mehānismam Ārējā konta saistīšana (EAB), ko iespējo MDExternalAccountBinding direktīva. EAB vērtības var konfigurēt no ārēja JSON faila, lai autentifikācijas parametri netiktu atklāti galvenajā servera konfigurācijas failā.
Direktīva “MDCertificateAuthority” nodrošina verifikāciju norāde url parametrā http / https vai kādu no iepriekš definētajiem nosaukumiem ("LetsEncrypt", "LetsEncrypt-Test", "Buypass" un "Buypass-Test").
No citām izmaiņām, kas izceļas šajā jaunajā versijā:
- Pievienotas papildu pārbaudes, vai URI, kas nav paredzēti starpniekserveram, satur http/https shēmu, bet tajos, kas ir paredzēti starpniekserveram, ir resursdatora nosaukums.
- Pagaidu atbilžu nosūtīšana pēc pieprasījumu saņemšanas ar galveni "Sagaidāms: 100-Turpināt" tiek nodrošināta, lai norādītu statusa "100 Turpināt" rezultātu, nevis pašreizējo pieprasījuma statusu.
- Mpm_event atrisina problēmu, kas saistīta ar neaktīvo pakārtoto procesu apturēšanu pēc servera slodzes pieauguma.
- Sadaļā ir atļauts norādīt MDContactEmail direktīvu .
- Ir novērstas vairākas kļūdas, tostarp atmiņas noplūde, kas rodas, ja netiek ielādēta privātā atslēga.
Kā ievainojamības, kas tika novērstas šajā jaunajā versijā ir minēts:
- CVE 2021-44790: Bufera pārpilde mod_lua, parādīti parsēšanas pieprasījumi, kas sastāv no vairākām daļām (vairāku daļu). Ievainojamība ietekmē konfigurācijas, kurās Lua skripti izsauc funkciju r: parsebody (), lai parsētu pieprasījuma pamattekstu un ļautu uzbrucējam sasniegt bufera pārpildīšanu, nosūtot īpaši izstrādātu pieprasījumu. Fakti par ekspluatācijas esamību vēl nav identificēti, taču, iespējams, problēma var izraisīt jūsu koda izpildi serverī.
- SSRF ievainojamība (Servera puses pieprasījuma viltošana): mod_proxy, kas ļauj konfigurācijās ar opciju "ProxyRequests on", izmantojot pieprasījumu no īpaši izveidota URI, novirzīt pieprasījumu uz citu kontrolieri tajā pašā serverī, kas pieņem savienojumus caur ligzdu Unix domēns. Problēmu var izmantot arī avārijas izraisīšanai, radot nosacījumus, lai noņemtu atsauci uz nulles rādītāju. Problēma skar Apache httpd versijas kopš 2.4.7.
Visbeidzot, ja vēlaties uzzināt vairāk par šo jauno versiju, varat pārbaudīt sīkāku informāciju šo saiti.