For flere dager siden lanseringen av den nye versjonen av Apache HTTP 2.4.52-serveren ble annonsert hvor det ble gjort ca 25 endringer og i tillegg er korrigeringen gjort av 2 sårbarheter.
For de som fortsatt ikke er klar over Apache HTTP-serveren, bør de vite at dette er en åpen kildekode, kryssplattform HTTP-nettserver som implementerer HTTP / 1.1-protokollen og forestillingen om virtuelt nettsted i henhold til RFC 2616-standarden.
Hva er nytt i Apache HTTP 2.4.52?
I denne nye versjonen av serveren kan vi finne det lagt til støtte for bygging med OpenSSL 3-bibliotek i mod_sslI tillegg ble deteksjonen forbedret i OpenSSL-biblioteket i autoconf-skript.
En annen nyhet som skiller seg ut i denne nye versjonen er i mod_proxy for tunneleringsprotokoller, det er mulig å deaktivere omdirigering av TCP-tilkoblinger halvt lukket ved å sette parameteren "SetEnv proxy-nohalfclose".
En mod_proxy_connect og mod_proxy, er det forbudt å endre statuskoden etter å ha sendt det til kunden.
Mens i mod_dav legger til støtte for CalDAV-utvidelser, Som må ta hensyn til både dokument- og eiendomselementer ved generering av en eiendom. Nye dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () og dav_find_attr () funksjoner er lagt til, som kan kalles opp fra andre moduler.
En mod_http2, endringer bakover som fører til feil oppførsel er fikset når du håndterer MaxRequestsPerChild- og MaxConnectionsPerChild-begrensninger.
Det bemerkes også at funksjonene til mod_md-modulen, som brukes til å automatisere mottak og vedlikehold av sertifikater gjennom ACME-protokollen (Automatic Certificate Management Environment), har blitt utvidet:
Lagt til støtte for ACME-mekanisme Ekstern kontobinding (EAB), som er aktivert av MDExternalAccountBinding-direktivet. Verdiene for EAB kan konfigureres fra en ekstern JSON-fil slik at autentiseringsparametrene ikke vises i hovedserverens konfigurasjonsfil.
Direktivet 'MDCertificateAuthority' gir verifisering av indikasjonen i url-parameteren http / https eller ett av de forhåndsdefinerte navnene ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' og 'Buypass-Test').
Av de andre endringene som skiller seg ut i denne nye versjonen:
- Lagt til ytterligere kontroller for at URIer som ikke er ment for proxyen inneholder http / https-skjemaet, men de som er ment for proxyen inneholder vertsnavnet.
- Sende midlertidige svar etter å ha mottatt forespørsler med overskriften "Forvent: 100-Fortsett" er gitt for å indikere resultatet av "100 Fortsett"-statusen i stedet for gjeldende status for forespørselen.
- Mpm_event løser problemet med å stoppe inaktive underordnede prosesser etter en topp i serverbelastning.
- Det er tillatt å spesifisere MDContactEmail-direktivet i seksjonen .
- Flere feil er fikset, inkludert en minnelekkasje som oppstår når en privat nøkkel ikke er lastet inn.
Som sårbarheter som ble fikset i denne nye versjonen er følgende nevnt:
- CVE 2021-44790: Bufferoverflyt i mod_lua, parsingforespørsler manifestert, bestående av flere deler (flerpart). Sårbarheten påvirker konfigurasjoner der Lua-skript kaller funksjonen r: parsebody () for å analysere forespørselsteksten og tillate en angriper å oppnå bufferoverflyt ved å sende en spesiallaget forespørsel. Fakta om tilstedeværelsen av en utnyttelse har ennå ikke blitt identifisert, men potensielt kan problemet føre til at koden din kjøres på serveren.
- SSRF-sårbarhet (Server Side Request Forgery): i mod_proxy, som tillater, i konfigurasjoner med alternativet "ProxyRequests on", gjennom en forespørsel fra en spesiallaget URI, å omdirigere forespørselen til en annen kontroller på samme server som godtar tilkoblinger gjennom en socket Unix domene. Problemet kan også brukes til å forårsake krasj ved å lage betingelser for å fjerne referansen til en null-peker. Problemet påvirker httpd-versjoner av Apache siden 2.4.7.
Til slutt, hvis du er interessert i å vite mer om denne nye utgitte versjonen, kan du sjekke detaljene i følgende lenke.