Apache HTTP 2.4.52 loste 2 kwetsbaarheden en verschillende wijzigingen op

Darkcrizt

4 minuten

Een aantal dagen geleden de release van de nieuwe versie van de Apache HTTP 2.4.52-server is aangekondigd waarin ongeveer 25 wijzigingen zijn aangebracht en daarnaast de correctie is aangebracht van 2 kwetsbaarheden.

Voor degenen die nog niet op de hoogte zijn van de Apache HTTP-server, moeten ze weten dat dit een open source, platformonafhankelijke HTTP-webserver is die het HTTP / 1.1-protocol en het begrip virtuele site volgens de RFC 2616-standaard implementeert.

Wat is er nieuw in Apache HTTP 2.4.52?

In deze nieuwe versie van de server kunnen we dat vinden: ondersteuning toegevoegd voor bouwen met OpenSSL 3-bibliotheek in mod_sslDaarnaast is de detectie verbeterd in de OpenSSL-bibliotheek in autoconf-scripts.

Een andere nieuwigheid die opvalt in deze nieuwe versie is in de mod_proxy voor tunnelprotocollen, het is mogelijk om de omleiding van TCP-verbindingen uit te schakelen half gesloten door de parameter "SetEnv proxy-nohalfclose" in te stellen.

En mod_proxy_connect en mod_proxy, het is verboden om de statuscode te wijzigen na verzending naar de klant.

Mientras que en mod_dav voegt ondersteuning toe voor CalDAV-extensies, Die rekening moet houden met zowel document- als eigenschapselementen bij het genereren van een eigenschap. Nieuwe dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () en dav_find_attr () functies zijn toegevoegd, die vanuit andere modules kunnen worden aangeroepen.

En mod_http2, achterwaartse wijzigingen die tot onjuist gedrag leiden, zijn verholpen bij het afhandelen van MaxRequestsPerChild- en MaxConnectionsPerChild-beperkingen.

Er wordt ook opgemerkt dat de mogelijkheden van de mod_md-module, die wordt gebruikt om de ontvangst en het onderhoud van certificaten te automatiseren via het ACME-protocol (Automatic Certificate Management Environment), zijn uitgebreid:

Ondersteuning toegevoegd voor ACME-mechanisme External Account Binding (EAB), die wordt ingeschakeld door de MDExternalAccountBinding-richtlijn. De waarden voor de EAB kunnen worden geconfigureerd vanuit een extern JSON-bestand, zodat de authenticatieparameters niet worden weergegeven in het configuratiebestand van de hoofdserver.

Richtlijn 'MDCertificateAuthority' biedt verificatie van: de indicatie in de url parameter http / https of een van de vooraf gedefinieerde namen ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' en 'Buypass-Test').

Van de andere wijzigingen die opvallen in deze nieuwe versie:

  • Extra controle toegevoegd dat URI's die niet voor de proxy bedoeld zijn het http/https-schema bevatten, maar die voor de proxy wel de hostnaam bevatten.
  • Het verzenden van tussentijdse antwoorden na ontvangst van verzoeken met de kop "Expect: 100-Continue" wordt verstrekt om het resultaat van de status "100 Continue" aan te geven in plaats van de huidige status van het verzoek.
  • Mpm_event lost het probleem op van het stoppen van inactieve onderliggende processen na een piek in serverbelasting.
  • Het is toegestaan ​​om de MDContactEmail-richtlijn op te geven in de sectie .
  • Er zijn verschillende bugs opgelost, waaronder een geheugenlek dat optreedt wanneer een privésleutel niet wordt geladen.

De kwetsbaarheden die zijn verholpen in deze nieuwe versie wordt het volgende vermeld:

  • CVE 2021-44790: Bufferoverloop in mod_lua, parseringsverzoeken gemanifesteerd, bestaande uit meerdere delen (multipart). Het beveiligingslek treft configuraties waarin Lua-scripts de functie r:parsebody () aanroepen om de hoofdtekst van het verzoek te ontleden en een aanvaller in staat te stellen een bufferoverloop te bereiken door een speciaal vervaardigd verzoek te verzenden. De feiten van de aanwezigheid van een exploit moeten nog worden vastgesteld, maar mogelijk kan het probleem ertoe leiden dat uw code op de server wordt uitgevoerd.
  • SSRF-kwetsbaarheid (Server Side Request Forgery): in mod_proxy, waarmee in configuraties met de optie "ProxyRequests on" via een verzoek van een speciaal gevormde URI het verzoek kan worden omgeleid naar een andere controller op dezelfde server die verbindingen via een socket Unix accepteert domein. Het probleem kan ook worden gebruikt om een ​​crash te veroorzaken door voorwaarden te creëren om de verwijzing naar een null-aanwijzer te verwijderen. Het probleem treft httpd-versies van Apache sinds 2.4.7.

Tot slot, als u meer wilt weten over deze nieuwe uitgebrachte versie, kunt u de details bekijken op de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.