Kilka dni temu poinformował o wydaniu nowej wersji serwera Apache HTTP 2.4.52 w którym dokonano około 25 zmian i że dokonano również korekty to 2 luki.
Dla tych, którzy wciąż nie znają serwera HTTP Apache, powinniście wiedzieć, że jest to wieloplatformowy serwer WWW HTTP o otwartym kodzie źródłowym, który implementuje protokół HTTP/1.1 i pojęcie wirtualnej witryny zgodnie z RFC 2616.
Co nowego w Apache HTTP 2.4.52?
W tej nowej wersji serwera możemy to znaleźć dodano obsługę budowania z biblioteką OpenSSL 3 w mod_ssl, a także poprawiono wykrywanie w bibliotece OpenSSL w skryptach autoconf.
Kolejną nowością, która wyróżnia się w tej nowej wersji, jest w mod_proxy dla protokołów tunelowania, istnieje możliwość wyłączenia przekierowania połączeń TCP częściowo zamknięte przez ustawienie parametru „SetEnv proxy-nohalfclose”.
En mod_proxy_connect i mod_proxy, zmiana kodu statusu jest zabroniona po przesłaniu go do klienta.
Podczas gdy mod_dav dodaje obsługę rozszerzeń CalDAV, który musi uwzględniać zarówno elementy dokumentu, jak i właściwości podczas generowania właściwości. Dodano nowe funkcje dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() i dav_find_attr(), które mogą być wywoływane z innych modułów.
En mod_http2, naprawiono regresywne zmiany prowadzące do nieprawidłowego zachowania przez obsługę ograniczeń MaxRequestsPerChild i MaxConnectionsPerChild.
Warto również zaznaczyć, że rozszerzone zostały możliwości modułu mod_md, służącego do automatyzacji odbioru i obsługi certyfikatów poprzez protokół ACME (Automatic Certificate Management Environment):
Dodano obsługę mechanizmu ACME Powiązanie konta zewnętrznego (EAB), które jest włączone przez dyrektywę MDExternalAccountBinding. Wartości dla EAB można skonfigurować z zewnętrznego pliku JSON, dzięki czemu parametry uwierzytelniania nie są eksponowane w pliku konfiguracyjnym głównego serwera.
Dyrektywa „MDCertificateAuthority” zapewnia weryfikację wskazanie w parametrze adresu URL http / https lub jedną z predefiniowanych nazw („LetsEncrypt”, „LetsEncrypt-Test”, „Buypass” i „Buypass-Test”).
Z innych zmian, które wyróżniają się w tej nowej wersji:
- Dodano dodatkowe sprawdzanie, czy identyfikatory URI, które nie są przeznaczone dla serwera proxy, zawierają schemat http/https, ale te, które są przeznaczone dla serwera proxy, zawierają nazwę hosta.
- Wysyłanie tymczasowych odpowiedzi po otrzymaniu próśb z nagłówkiem „Expect:100-Continue” ma na celu wskazanie wyniku stanu „100 Kontynuuj” zamiast bieżącego statusu żądania.
- Mpm_event rozwiązuje problem zatrzymywania bezczynnych procesów potomnych po skokowym obciążeniu serwera.
- Dozwolone jest określenie dyrektywy MDContactEmail w ramach sekcji .
- Naprawiono różne błędy, w tym wyciek pamięci, który występuje, gdy nie udaje się załadować klucza prywatnego.
W luki, które zostały naprawione W tej nowej wersji wymieniono:
- CVE 2021-44790: przepełnienie bufora w mod_lua, zamanifestowane żądania parsowania, składające się z kilku części (wieloczęściowe). Luka dotyczy konfiguracji, w których skrypty Lua wywołują funkcję r:parsebody() w celu przeanalizowania treści żądania i umożliwienia atakującemu przepełnienia bufora poprzez wysłanie specjalnie spreparowanego żądania. Fakty obecności exploita nie zostały jeszcze zidentyfikowane, ale potencjalnie problem może doprowadzić do wykonania twojego kodu na serwerze.
- Luka SSRF (Server Side Request Fałszerstwo): w mod_proxy, który pozwala, w konfiguracjach z opcją „ProxyRequests on”, za pośrednictwem specjalnie utworzonego URI żądania, przekierować żądanie do innego kontrolera na tym samym serwerze, który akceptuje połączenia przez domenę Socket Unix. Problem można również wykorzystać do spowodowania awarii, tworząc warunki do wyłuskania wskaźnika zerowego. Problem dotyczy wersji Apache httpd od 2.4.7.
Wreszcie, jeśli chcesz dowiedzieć się więcej o tej nowej wydanej wersji, możesz sprawdzić szczegóły pod adresem poniższy link.