Несколько дней назад анонсирован выход новой версии сервера Apache HTTP 2.4.52 в котором было внесено около 25 изменений и дополнительно исправлены 2 уязвимости.
Для тех, кто еще не знаком с HTTP-сервером Apache, следует знать, что это кроссплатформенный веб-сервер HTTP с открытым исходным кодом, который реализует протокол HTTP/1.1 и понятие виртуального сайта в соответствии со стандартом RFC 2616.
Что нового в Apache HTTP 2.4.52?
В этой новой версии сервера мы можем найти, что добавлена поддержка сборки с библиотекой OpenSSL 3 в mod_sslКроме того, улучшено обнаружение в библиотеке OpenSSL в скриптах autoconf.
Еще одна новинка, которая выделяется в этой новой версии, заключается в mod_proxy протоколы туннелирования, можно отключить перенаправление TCP-соединений наполовину закрыто установкой параметра "SetEnv proxy-nohalfclose".
En mod_proxy_connect и mod_proxy, запрещено менять код состояния после отправки заказчику.
Mientras que en mod_dav добавляет поддержку расширений CalDAV, Который должен учитывать как элементы документа, так и элементы свойства при создании свойства. Добавлены новые функции dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() и dav_find_attr(), которые можно вызывать из других модулей.
En mod_http2, исправлены обратные изменения, приводившие к некорректному поведению при обработке ограничений MaxRequestsPerChild и MaxConnectionsPerChild.
Также отмечается, что расширены возможности модуля mod_md, используемого для автоматизации приема и обслуживания сертификатов по протоколу ACME (Automatic Certificate Management Environment):
Добавлена поддержка механизма ACME. Привязка внешней учетной записи (EAB), которая включается директивой MDExternalAccountBinding. Значения для EAB можно настроить из внешнего файла JSON, чтобы параметры аутентификации не отображались в основном файле конфигурации сервера.
Директива «MDCertificateAuthority» обеспечивает проверку указание в параметре url http / https или одно из предопределенных имен («LetsEncrypt», «LetsEncrypt-Test», «Buypass» и «Buypass-Test»).
Из других изменений, которые выделяются в этой новой версии:
- Добавлены дополнительные проверки того, что URI, которые не предназначены для прокси, содержат схему http/https, а те, что предназначены для прокси, содержат имя хоста.
- Отправка промежуточных ответов после получения запросов с заголовком «Ожидание: 100-Продолжить» предусмотрена для указания результата статуса «100 Продолжить» вместо текущего статуса запроса.
- Mpm_event решает проблему остановки неактивных дочерних процессов после скачка нагрузки на сервер.
- Допускается указывать директиву MDContactEmail в разделе .
- Исправлено несколько ошибок, в том числе утечка памяти, возникающая, когда закрытый ключ не загружен.
Что же касается уязвимости, которые были исправлены в этой новой версии упоминается следующее:
- CVE 2021-44790: Переполнение буфера в mod_lua, проявляется парсинг запросов, состоящих из нескольких частей (multipart). Уязвимость затрагивает конфигурации, в которых Lua-скрипты вызывают функцию r:parsebody() для разбора тела запроса и позволяют злоумышленнику добиться переполнения буфера путем отправки специально созданного запроса. Факты наличия эксплойта еще предстоит выявить, но потенциально проблема может привести к выполнению вашего кода на сервере.
- SSRF-уязвимость (Server Side Request Forgery): в mod_proxy, который позволяет в конфигурациях с опцией «ProxyRequests on» через запрос со специально сформированного URI перенаправить запрос на другой контроллер на том же сервере, принимающий соединения через сокет Unix домен. Эту проблему также можно использовать для сбоя, создав условия для удаления ссылки на нулевой указатель. Проблема затрагивает httpd-версии Apache, начиная с версии 2.4.7.
Наконец, если вам интересно узнать больше об этой новой выпущенной версии, вы можете проверить подробности в по следующей ссылке.