หลายวันก่อน ประกาศเปิดตัวเซิร์ฟเวอร์ Apache HTTP 2.4.52 เวอร์ชันใหม่แล้ว โดยทำการเปลี่ยนแปลงประมาณ 25 รายการและนอกจากนี้ การแก้ไขยังมีช่องโหว่ 2 จุดอีกด้วย
สำหรับผู้ที่ยังไม่ทราบเซิร์ฟเวอร์ Apache HTTP ควรรู้ว่านี่คือเว็บเซิร์ฟเวอร์ HTTP แบบโอเพ่นซอร์สแบบข้ามแพลตฟอร์มที่ใช้โปรโตคอล HTTP / 1.1 และแนวคิดของไซต์เสมือนตามมาตรฐาน RFC 2616
มีอะไรใหม่ใน Apache HTTP 2.4.52?
ในเซิร์ฟเวอร์เวอร์ชันใหม่นี้ เราจะพบว่า เพิ่มการรองรับสำหรับการสร้างด้วยไลบรารี OpenSSL 3 ใน mod_sslนอกจากนี้ การตรวจจับยังได้รับการปรับปรุงในไลบรารี OpenSSL ในสคริปต์ autoconf
ความแปลกใหม่อีกอย่างที่โดดเด่นในเวอร์ชั่นใหม่นี้คือ mod_proxy สำหรับโปรโตคอลอุโมงค์ เป็นไปได้ที่จะปิดการใช้งานการเปลี่ยนเส้นทางของการเชื่อมต่อ TCP ปิดครึ่งหนึ่งโดยการตั้งค่าพารามิเตอร์ "SetEnv proxy-nohalfclose"
En mod_proxy_connect และ mod_proxy ห้ามเปลี่ยนรหัสสถานะ หลังจากส่งให้ลูกค้า
ในขณะที่ mod_dav เพิ่มการรองรับส่วนขยาย CalDAV ซึ่งต้องคำนึงถึงทั้งองค์ประกอบเอกสารและคุณสมบัติเมื่อสร้างคุณสมบัติ เพิ่มฟังก์ชัน dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () และ dav_find_attr () แล้ว ซึ่งสามารถเรียกจากโมดูลอื่นได้
En mod_http2 การเปลี่ยนแปลงย้อนหลังที่นำไปสู่การทำงานที่ไม่ถูกต้องได้รับการแก้ไข เมื่อจัดการข้อจำกัด MaxRequestsPerChild และ MaxConnectionsPerChild
นอกจากนี้ยังตั้งข้อสังเกตอีกว่าความสามารถของโมดูล mod_md ที่ใช้ในการรับและบำรุงรักษาใบรับรองโดยอัตโนมัติผ่านโปรโตคอล ACME (สภาพแวดล้อมการจัดการใบรับรองอัตโนมัติ) ได้รับการขยาย:
เพิ่มการรองรับกลไก ACME การผูกบัญชีภายนอก (EAB) ซึ่งเปิดใช้งานโดยคำสั่ง MDExternalAccountBinding ค่าสำหรับ EAB สามารถกำหนดค่าได้จากไฟล์ JSON ภายนอกเพื่อไม่ให้พารามิเตอร์การตรวจสอบสิทธิ์ปรากฏในไฟล์การกำหนดค่าเซิร์ฟเวอร์หลัก
คำสั่ง 'MDCertificateAuthority' ให้การตรวจสอบของ ตัวบ่งชี้ในพารามิเตอร์ url http / https หรือชื่อที่กำหนดไว้ล่วงหน้าอย่างใดอย่างหนึ่ง ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' และ 'Buypass-Test')
การเปลี่ยนแปลงอื่นๆ ที่โดดเด่นในเวอร์ชันใหม่นี้:
- เพิ่มการตรวจสอบเพิ่มเติมว่า URI ที่ไม่ได้มีไว้สำหรับพร็อกซีมีรูปแบบ http / https แต่สำหรับพร็อกซีนั้นมีชื่อโฮสต์
- การส่งคำตอบชั่วคราวหลังจากได้รับคำขอที่มีส่วนหัว "คาดหวัง: 100- ดำเนินการต่อ" มีไว้เพื่อระบุผลลัพธ์ของสถานะ "100 ดำเนินการต่อ" แทนที่จะเป็นสถานะปัจจุบันของคำขอ
- Mpm_event แก้ปัญหาการหยุดโปรเซสลูกที่ไม่แอ็คทีฟหลังจากโหลดเซิร์ฟเวอร์เพิ่มขึ้น
- อนุญาตให้ระบุคำสั่ง MDContactEmail ภายในส่วน .
- ข้อบกพร่องหลายอย่างได้รับการแก้ไขแล้ว รวมถึงหน่วยความจำรั่วที่เกิดขึ้นเมื่อไม่ได้โหลดคีย์ส่วนตัว
เป็น ช่องโหว่ที่ได้รับการแก้ไข ในเวอร์ชันใหม่นี้มีการกล่าวถึงต่อไปนี้:
- CVE 2021-44790: บัฟเฟอร์ล้นใน mod_lua คำขอแยกวิเคราะห์ปรากฏ ซึ่งประกอบด้วยหลายส่วน (หลายส่วน) ช่องโหว่ส่งผลกระทบต่อการกำหนดค่าซึ่งสคริปต์ Lua เรียกใช้ฟังก์ชัน r: parsebody () เพื่อแยกวิเคราะห์เนื้อหาคำขอและอนุญาตให้ผู้โจมตีบรรลุบัฟเฟอร์ล้นโดยส่งคำขอที่สร้างขึ้นเป็นพิเศษ ข้อเท็จจริงเกี่ยวกับการมีอยู่ของช่องโหว่นั้นยังไม่สามารถระบุได้ แต่ปัญหาอาจนำไปสู่การเรียกใช้โค้ดของคุณบนเซิร์ฟเวอร์
- ช่องโหว่ SSRF (การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์): ใน mod_proxy ซึ่งอนุญาตในการกำหนดค่าด้วยตัวเลือก "ProxyRequests on" ผ่านคำขอจาก URI ที่มีรูปแบบพิเศษ เพื่อเปลี่ยนเส้นทางคำขอไปยังตัวควบคุมอื่นบนเซิร์ฟเวอร์เดียวกันที่ยอมรับการเชื่อมต่อผ่านซ็อกเก็ต Unix โดเมน. ปัญหายังสามารถใช้เพื่อทำให้เกิดการหยุดทำงานโดยการสร้างเงื่อนไขเพื่อลบการอ้างอิงไปยังตัวชี้ค่าว่าง ปัญหาส่งผลกระทบต่อ Apache เวอร์ชัน httpd ตั้งแต่ 2.4.7
สุดท้ายนี้ หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับเวอร์ชันออกใหม่นี้ คุณสามารถตรวจสอบรายละเอียดใน ลิงค์ต่อไปนี้