Apache HTTP 2.4.52 menyelesaikan 2 kelemahan dan beberapa perubahan

Darkcrizt

Minit 4

Beberapa hari yang lalu keluaran versi baharu pelayan Apache HTTP 2.4.52 telah diumumkan di mana kira-kira 25 perubahan telah dibuat dan di samping itu pembetulan telah dibuat adalah daripada 2 kelemahan.

Bagi mereka yang masih tidak mengetahui tentang pelayan HTTP Apache, mereka harus tahu bahawa ini adalah pelayan web HTTP merentas platform sumber terbuka yang melaksanakan protokol HTTP / 1.1 dan tanggapan tapak maya mengikut piawaian RFC 2616.

Apakah yang baharu dalam Apache HTTP 2.4.52?

Dalam versi baharu pelayan ini, kami boleh menemuinya menambah sokongan untuk membina dengan perpustakaan OpenSSL 3 dalam mod_sslSelain itu, pengesanan telah dipertingkatkan dalam perpustakaan OpenSSL dalam skrip autoconf.

Satu lagi kebaharuan yang menonjol dalam versi baharu ini ialah dalam mod_proxy untuk protokol terowong, adalah mungkin untuk melumpuhkan pengalihan semula sambungan TCP separuh ditutup dengan menetapkan parameter "SetEnv proxy-nohalfclose".

En mod_proxy_connect dan mod_proxy, dilarang menukar kod status selepas dihantar kepada pelanggan.

Semasa di mod_dav menambah sokongan untuk sambungan CalDAV, Yang mesti mengambil kira kedua-dua dokumen dan elemen harta semasa menjana harta. Fungsi dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () dan dav_find_attr () telah ditambah, yang boleh dipanggil daripada modul lain.

En mod_http2, perubahan ke belakang yang membawa kepada tingkah laku yang salah telah diperbaiki apabila mengendalikan kekangan MaxRequestsPerChild dan MaxConnectionsPerChild.

Ia juga menonjol bahawa keupayaan modul mod_md, yang digunakan untuk mengautomasikan penerimaan dan penyelenggaraan sijil melalui protokol ACME (Persekitaran Pengurusan Sijil Automatik), telah diperluaskan:

Menambah sokongan untuk mekanisme ACME Pengikatan Akaun Luaran (EAB), yang didayakan oleh arahan MDExternalAccountBinding. Nilai untuk EAB boleh dikonfigurasikan daripada fail JSON luaran supaya parameter pengesahan tidak didedahkan dalam fail konfigurasi pelayan utama.

Arahan 'MDCertificateAuthority' menyediakan pengesahan petunjuk dalam parameter url http / https atau salah satu nama yang dipratentukan ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' dan 'Buypass-Test').

Daripada perubahan lain yang menonjol dalam versi baharu ini:

  • Menambah semakan tambahan bahawa URI yang tidak ditujukan untuk proksi mengandungi skim http / https, tetapi URI yang ditujukan untuk proksi mengandungi nama hos.
  • Menghantar respons interim selepas menerima permintaan dengan pengepala "Expect: 100-Continue" disediakan untuk menunjukkan keputusan status "100 Continue" dan bukannya status semasa permintaan.
  • Mpm_event menyelesaikan masalah menghentikan proses anak yang tidak aktif selepas lonjakan beban pelayan.
  • Ia dibenarkan untuk menentukan arahan MDContactEmail dalam bahagian tersebut .
  • Beberapa pepijat telah diperbaiki, termasuk kebocoran memori yang berlaku apabila kunci peribadi tidak dimuatkan.

Sebagai kelemahan yang telah diperbaiki dalam versi baharu ini perkara berikut disebut:

  • CVE 2021-44790: Limpahan penimbal dalam mod_lua, permintaan penghuraian ditunjukkan, yang terdiri daripada berbilang bahagian (berbilang bahagian). Kerentanan mempengaruhi konfigurasi di mana skrip Lua memanggil fungsi r: parsebody () untuk menghuraikan badan permintaan dan membenarkan penyerang mencapai limpahan penimbal dengan menghantar permintaan yang direka khas. Fakta kehadiran eksploitasi masih belum dikenal pasti, tetapi kemungkinan masalahnya boleh menyebabkan kod anda dilaksanakan pada pelayan.
  • Kerentanan SSRF (Pemalsuan Permintaan Sisi Pelayan): dalam mod_proxy, yang membenarkan, dalam konfigurasi dengan pilihan "ProxyRequests on", melalui permintaan daripada URI yang dibentuk khas, untuk mengubah hala permintaan kepada pengawal lain pada pelayan yang sama yang menerima sambungan melalui soket Unix domain. Masalah ini juga boleh digunakan untuk menyebabkan ranap sistem dengan mencipta syarat untuk mengalih keluar rujukan kepada penuding nol. Masalahnya menjejaskan versi httpd Apache sejak 2.4.7.

Akhir sekali, jika anda berminat untuk mengetahui lebih lanjut tentang versi keluaran baharu ini, anda boleh menyemak butiran di pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.