Pred nekaj dnevi napovedana je izid nove različice strežnika Apache HTTP 2.4.52 v katerem je bilo narejenih približno 25 sprememb, poleg tega pa je bil narejen popravek 2 ranljivosti.
Tisti, ki še ne poznajo strežnika Apache HTTP, naj vedo, da je to odprtokodni, večplatformski spletni strežnik HTTP, ki implementira protokol HTTP / 1.1 in pojem virtualnega mesta po standardu RFC 2616.
Kaj je novega v Apache HTTP 2.4.52?
V tej novi različici strežnika lahko to najdemo dodana podpora za gradnjo s knjižnico OpenSSL 3 v mod_sslPoleg tega je bilo zaznavanje izboljšano v knjižnici OpenSSL v skriptih autoconf.
Druga novost, ki izstopa v tej novi različici, je v mod_proxy za protokole za tuneliranje, možno je onemogočiti preusmeritev TCP povezav napol zaprto z nastavitvijo parametra "SetEnv proxy-nohalfclose".
En mod_proxy_connect in mod_proxy, je prepovedano spreminjati statusno kodo potem ko jo pošljete stranki.
Medtem ko je notri mod_dav doda podporo za razširitve CalDAV, Ki mora pri ustvarjanju lastnosti upoštevati elemente dokumenta in lastnosti. Dodane so bile nove funkcije dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () in dav_find_attr (), ki jih je mogoče priklicati iz drugih modulov.
En mod_http2, so bile popravljene spremembe nazaj, ki vodijo do nepravilnega vedenja pri ravnanju z omejitvami MaxRequestsPerChild in MaxConnectionsPerChild.
Opozoriti je treba tudi, da so bile zmožnosti modula mod_md, ki se uporablja za avtomatizacijo sprejemanja in vzdrževanja potrdil prek protokola ACME (okolje za samodejno upravljanje potrdil), razširjene:
Dodana podpora za mehanizem ACME External Account Binding (EAB), ki ga omogoča direktiva MDExternalAccountBinding. Vrednosti za EAB je mogoče konfigurirati iz zunanje datoteke JSON, tako da parametri preverjanja pristnosti niso izpostavljeni v glavni konfiguracijski datoteki strežnika.
Direktive 'MDCertificateAuthority' zagotavlja preverjanje navedba v parametru url http / https ali eno od vnaprej določenih imen ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' in 'Buypass-Test').
Od drugih sprememb, ki izstopajo v tej novi različici:
- Dodana dodatna preverjanja, ali URI-ji, ki niso namenjeni proxyju, vsebujejo shemo http/https, tisti, ki so namenjeni proxyju, pa vsebujejo ime gostitelja.
- Pošiljanje vmesnih odgovorov po prejemu zahtev z glavo »Pričakuj: 100-Nadaljuj« je na voljo za prikaz rezultata statusa »100 Nadaljuj« namesto trenutnega statusa zahteve.
- Mpm_event rešuje problem ustavljanja neaktivnih podrejenih procesov po povečanju obremenitve strežnika.
- V razdelku je dovoljeno podati direktivo MDContactEmail .
- Odpravljenih je več napak, vključno s puščanjem pomnilnika, ki se pojavi, ko zasebni ključ ni naložen.
Kot za ranljivosti, ki so bile odpravljene v tej novi različici je omenjeno naslednje:
- CVE 2021-44790: Prelivanje medpomnilnika v mod_lua, manifestirane zahteve za razčlenjevanje, sestavljene iz več delov (večdelnih). Ranljivost vpliva na konfiguracije, v katerih skripti Lua pokličejo funkcijo r: parsebody (), da razčlenijo telo zahteve in omogočijo napadalcu, da doseže prepolnitev medpomnilnika s pošiljanjem posebej oblikovane zahteve. Dejstva o prisotnosti izkoriščanja je treba še ugotoviti, vendar lahko težava povzroči, da se vaša koda izvaja na strežniku.
- Ranljivost SSRF (Ponarejanje zahtev na strani strežnika): v mod_proxy, ki omogoča v konfiguracijah z možnostjo »ProxyRequests on« prek zahteve iz posebej oblikovanega URI-ja preusmeritev zahteve na drug krmilnik na istem strežniku, ki sprejema povezave prek vtičnice Unix domena. Težavo je mogoče uporabiti tudi za povzročitev zrušitve z ustvarjanjem pogojev za odstranitev sklicevanja na ničelni kazalec. Težava vpliva na različice httpd Apache od 2.4.7.
Končno, če vas zanima več o tej novi izdani različici, lahko preverite podrobnosti naslednjo povezavo.