Pred niekoľkými dňami bolo oznámené vydanie novej verzie servera Apache HTTP 2.4.52 v ktorom bolo urobených cca 25 zmien a navyše bola vykonaná oprava je 2 zraniteľností.
Pre tých, ktorí stále nepoznajú HTTP server Apache, by mali vedieť, že ide o open source, multiplatformový HTTP webový server, ktorý implementuje protokol HTTP / 1.1 a pojem virtuálna stránka podľa štandardu RFC 2616.
Čo je nové v Apache HTTP 2.4.52?
V tejto novej verzii servera to nájdeme pridaná podpora pre budovanie s knižnicou OpenSSL 3 v mod_sslOkrem toho bola vylepšená detekcia v knižnici OpenSSL v skriptoch autoconf.
Ďalšou novinkou, ktorá v tejto novej verzii vyniká, je v mod_proxy pre tunelovacie protokoly, je možné zakázať presmerovanie TCP spojení polovične zatvorené nastavením parametra "SetEnv proxy-nohalfclose".
En mod_proxy_connect a mod_proxy, je zakázané meniť stavový kód po jeho odoslaní zákazníkovi.
Kým v mod_dav pridáva podporu pre rozšírenia CalDAV, Ktorý musí pri generovaní vlastnosti brať do úvahy prvky dokumentu aj vlastnosti. Boli pridané nové funkcie dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () a dav_find_attr (), ktoré je možné volať z iných modulov.
En mod_http2, boli opravené spätné zmeny vedúce k nesprávnemu správaniu pri spracovávaní obmedzení MaxRequestsPerChild a MaxConnectionsPerChild.
Treba tiež poznamenať, že možnosti modulu mod_md, ktorý sa používa na automatizáciu prijímania a údržby certifikátov prostredníctvom protokolu ACME (Automatic Certificate Management Environment), boli rozšírené:
Pridaná podpora pre mechanizmus ACME External Account Binding (EAB), ktorý je povolený direktívou MDExternalAccountBinding. Hodnoty pre EAB je možné nakonfigurovať z externého súboru JSON, takže parametre autentifikácie nie sú vystavené v hlavnom konfiguračnom súbore servera.
Smernice 'MDCertificateAuthority' poskytuje overenie údaj v parametri url http / https alebo jeden z preddefinovaných názvov ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' a 'Buypass-Test').
Z ďalších zmien, ktoré vynikajú v tejto novej verzii:
- Pridané ďalšie kontroly, či URI, ktoré nie sú určené pre proxy, obsahujú schému http / https, ale tie, ktoré sú určené pre proxy, obsahujú názov hostiteľa.
- Odosielanie priebežných odpovedí po prijatí žiadostí s hlavičkou „Očakávať: 100-pokračovať“ sa poskytuje na označenie výsledku stavu „100 pokračovať“ namiesto aktuálneho stavu požiadavky.
- Mpm_event rieši problém zastavenia neaktívnych podriadených procesov po prudkom zaťažení servera.
- V rámci sekcie je povolené špecifikovať direktívu MDContactEmail .
- Bolo opravených niekoľko chýb, vrátane úniku pamäte, ku ktorému dochádza, keď nie je načítaný súkromný kľúč.
Vzhľadom k tomu, zraniteľnosti, ktoré boli opravené v tejto novej verzii sa uvádza toto:
- CVE 2021-44790: Pretečenie vyrovnávacej pamäte v mod_lua, prejavené požiadavky na analýzu, pozostávajúce z viacerých častí (multipart). Zraniteľnosť ovplyvňuje konfigurácie, v ktorých skripty Lua volajú funkciu r: parsebody (), aby analyzovali telo požiadavky a umožnili útočníkovi dosiahnuť pretečenie vyrovnávacej pamäte odoslaním špeciálne upravenej požiadavky. Fakty o prítomnosti exploitu ešte musia byť identifikované, ale problém môže potenciálne viesť k tomu, že váš kód bude spustený na serveri.
- Zraniteľnosť SSRF (Server Side Request Forgery): v mod_proxy, ktorý umožňuje v konfiguráciách s možnosťou „ProxyRequests on“ prostredníctvom požiadavky zo špeciálne vytvoreného URI presmerovať požiadavku na iný radič na rovnakom serveri, ktorý akceptuje pripojenia cez socket Unix doména. Problém možno použiť aj na spôsobenie zlyhania vytvorením podmienok na odstránenie odkazu na nulový ukazovateľ. Problém sa týka httpd verzií Apache od 2.4.7.
Nakoniec, ak máte záujem dozvedieť sa viac o tejto novej vydanej verzii, môžete skontrolovať podrobnosti v nasledujúci odkaz.