Disa ditë më parë u njoftua lëshimi i versionit të ri të serverit Apache HTTP 2.4.52 në të cilin janë bërë rreth 25 ndryshime dhe përveç kësaj është bërë korrigjimi është i 2 dobësive.
Për ata që nuk janë ende në dijeni të serverit Apache HTTP, duhet të dinë se ky është një server web HTTP me burim të hapur, ndër-platformë, i cili implementon protokollin HTTP / 1.1 dhe nocionin e faqes virtuale sipas standardit RFC 2616.
Çfarë ka të re në Apache HTTP 2.4.52?
Në këtë version të ri të serverit ne mund ta gjejmë atë shtoi mbështetje për ndërtimin me bibliotekën OpenSSL 3 në mod_sslPërveç kësaj, zbulimi u përmirësua në bibliotekën OpenSSL në skriptet automatike.
Një tjetër risi që bie në sy në këtë version të ri është në mod_proxy për protokollet e tunelimit, është e mundur të çaktivizohet ridrejtimi i lidhjeve TCP gjysmë i mbyllur duke vendosur parametrin "SetEnv proxy-nohalfclose".
En mod_proxy_connect dhe mod_proxy, është e ndaluar ndryshimi i kodit të statusit pas dërgimit te klienti.
Ndërsa në mod_dav shton mbështetje për shtesat CalDAV, Të cilat duhet të marrin parasysh si elementet e dokumentit ashtu edhe ato të pronës gjatë krijimit të një prone. Funksionet e reja dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () dhe dav_find_attr () janë shtuar, të cilat mund të thirren nga module të tjera.
En mod_http2, ndryshimet e prapambetura që çojnë në sjellje të pasaktë janë rregulluar kur trajtoni kufizimet MaxRequestsPerChild dhe MaxConnectionsPerChild.
Gjithashtu vihet re se aftësitë e modulit mod_md, i përdorur për të automatizuar marrjen dhe mirëmbajtjen e certifikatave përmes protokollit ACME (Automatic Certificate Management Environment), janë zgjeruar:
Mbështetje e shtuar për mekanizmin ACME Lidhja e llogarisë së jashtme (EAB), e cila mundësohet nga direktiva MDExternalAccountBinding. Vlerat për EAB mund të konfigurohen nga një skedar i jashtëm JSON në mënyrë që parametrat e vërtetimit të mos ekspozohen në skedarin kryesor të konfigurimit të serverit.
Direktiva 'MDCertificateAuthority' siguron verifikimin e treguesi në parametrin url http / https ose një nga emrat e paracaktuar ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' dhe 'Buypass-Test').
Nga ndryshimet e tjera që bien në sy në këtë version të ri:
- U shtuan kontrolle shtesë që URI-të që nuk janë të destinuara për përfaqësuesin përmbajnë skemën http / https, por ato që janë të destinuara për përfaqësuesin përmbajnë emrin e hostit.
- Dërgimi i përgjigjeve të ndërmjetme pas marrjes së kërkesave me titullin "Prit: 100-Vazhdo" ofrohet për të treguar rezultatin e statusit "100 Vazhdo" në vend të statusit aktual të kërkesës.
- Mpm_event zgjidh problemin e ndalimit të proceseve joaktive të fëmijës pas një rritjeje të ngarkesës së serverit.
- Lejohet të specifikohet direktiva MDContactEmail brenda seksionit .
- Janë rregulluar disa gabime, duke përfshirë një rrjedhje memorie që ndodh kur një çelës privat nuk ngarkohet.
Si dobësitë që u rregulluan në këtë version të ri përmendet si më poshtë:
- CVE 2021-44790: Mbimbushja e tamponit në mod_lua, shfaqen kërkesat e analizimit, të përbërë nga pjesë të shumta (shumëpjesëshe). Dobësia prek konfigurimet në të cilat skriptet Lua thërrasin funksionin r: parsebody () për të analizuar trupin e kërkesës dhe për të lejuar një sulmues të arrijë një tejmbushje buferi duke dërguar një kërkesë të krijuar posaçërisht. Faktet e pranisë së një shfrytëzimi ende nuk janë identifikuar, por potencialisht problemi mund të çojë në ekzekutimin e kodit tuaj në server.
- Cenueshmëria SSRF (Falsifikim i kërkesës nga ana e serverit): në mod_proxy, i cili lejon, në konfigurime me opsionin "ProxyRequests on", nëpërmjet një kërkese nga një URI e formuar posaçërisht, të ridrejtojë kërkesën te një kontrollues tjetër në të njëjtin server që pranon lidhjet përmes një fole Unix domain. Problemi mund të përdoret gjithashtu për të shkaktuar një përplasje duke krijuar kushte për të hequr referencën në një tregues null. Problemi prek versionet httpd të Apache që nga 2.4.7.
Së fundi, nëse jeni të interesuar të dini më shumë rreth këtij versioni të ri të lëshuar, mund t'i kontrolloni detajet në lidhja e mëposhtme.