Ilang araw na ang nakakalipas ang paglabas ng bagong bersyon ng Apache HTTP 2.4.52 server ay inihayag kung saan humigit-kumulang 25 pagbabago ang ginawa at bukod pa rito ang ginawang pagwawasto ay may 2 mga kahinaan.
Para sa mga hindi pa rin nakakaalam ng Apache HTTP server, dapat nilang malaman na ito ay isang open source, cross-platform HTTP web server na nagpapatupad ng HTTP / 1.1 protocol at ang paniwala ng virtual site ayon sa RFC 2616 standard.
Ano ang bago sa Apache HTTP 2.4.52?
Sa bagong bersyon na ito ng server mahahanap natin iyon nagdagdag ng suporta para sa pagbuo gamit ang OpenSSL 3 library sa mod_sslBilang karagdagan, ang pagtuklas ay pinahusay sa OpenSSL library sa mga autoconf script.
Ang isa pang bagong bagay na kapansin-pansin sa bagong bersyon na ito ay sa mod_proxy para sa mga protocol ng tunneling, posibleng i-disable ang pag-redirect ng mga koneksyon sa TCP kalahating sarado sa pamamagitan ng pagtatakda ng parameter na "SetEnv proxy-nohalfclose".
En mod_proxy_connect at mod_proxy, bawal baguhin ang status code pagkatapos ipadala ito sa customer.
Habang nasa mod_dav ay nagdaragdag ng suporta para sa mga extension ng CalDAV, Na dapat isaalang-alang ang parehong mga elemento ng dokumento at ari-arian kapag bumubuo ng isang ari-arian. Ang mga bagong dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () at dav_find_attr () function ay naidagdag, na maaaring tawagan mula sa ibang mga module.
En mod_http2, ang mga pabalik na pagbabago na humahantong sa hindi tamang pag-uugali ay naayos na kapag hinahawakan ang mga hadlang sa MaxRequestsPerChild at MaxConnectionsPerChild.
Napansin din na ang mga kakayahan ng mod_md module, na ginamit upang i-automate ang pagtanggap at pagpapanatili ng mga sertipiko sa pamamagitan ng ACME protocol (Automatic Certificate Management Environment), ay pinalawak:
Nagdagdag ng suporta para sa mekanismo ng ACME External Account Binding (EAB), na pinagana ng MDExternalAccountBinding directive. Ang mga halaga para sa EAB ay maaaring i-configure mula sa isang panlabas na JSON file upang ang mga parameter ng pagpapatunay ay hindi malantad sa pangunahing file ng pagsasaayos ng server.
Direktiba Nagbibigay ang 'MDCertificateAuthority' ng pagpapatunay ng ang indikasyon sa parameter ng url http / https o isa sa mga paunang natukoy na pangalan ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' at 'Buypass-Test').
Sa iba pang mga pagbabago na kapansin-pansin sa bagong bersyong ito:
- Nagdagdag ng mga karagdagang pagsusuri na ang mga URI na hindi inilaan para sa proxy ay naglalaman ng http / https scheme, ngunit ang mga nakalaan para sa proxy ay naglalaman ng hostname.
- Ang pagpapadala ng mga pansamantalang tugon pagkatapos makatanggap ng mga kahilingan na may header na "Asahan: 100-Magpatuloy" ay ibinigay upang isaad ang resulta ng status na "100 Magpatuloy" sa halip na ang kasalukuyang status ng kahilingan.
- Niresolba ng Mpm_event ang problema sa paghinto ng mga hindi aktibong proseso ng bata pagkatapos ng pagtaas ng pag-load ng server.
- Pinapayagan na tukuyin ang direktiba ng MDContactEmail sa loob ng seksyon .
- Maraming mga bug ang naayos, kabilang ang isang memory leak na nangyayari kapag ang isang pribadong key ay hindi na-load.
Bilang ang mga kahinaan na naayos sa bagong bersyon na ito ay binanggit ang sumusunod:
- CVE 2021-44790: Buffer overflow sa mod_lua, ipinakita ang mga kahilingan sa pag-parse, na binubuo ng maraming bahagi (multipart). Nakakaapekto ang kahinaan sa mga configuration kung saan tinatawag ng mga Lua script ang r: parsebody () function para i-parse ang request body at payagan ang attacker na makamit ang buffer overflow sa pamamagitan ng pagpapadala ng espesyal na ginawang kahilingan. Ang mga katotohanan ng pagkakaroon ng isang pagsasamantala ay hindi pa nakikilala, ngunit potensyal na ang problema ay maaaring humantong sa iyong code na isagawa sa server.
- kahinaan ng SSRF (Server Side Request Forgery): sa mod_proxy, na nagpapahintulot, sa mga pagsasaayos na may opsyon na "ProxyRequests on", sa pamamagitan ng kahilingan mula sa isang espesyal na nabuong URI, na i-redirect ang kahilingan sa isa pang controller sa parehong server na tumatanggap ng mga koneksyon sa pamamagitan ng isang socket Unix domain. Ang problema ay maaari ding gamitin upang maging sanhi ng pag-crash sa pamamagitan ng paglikha ng mga kundisyon upang alisin ang reference sa isang null pointer. Ang problema ay nakakaapekto sa mga bersyon ng httpd ng Apache mula noong 2.4.7.
Sa wakas, kung interesado kang malaman ang higit pa tungkol sa bagong inilabas na bersyon, maaari mong tingnan ang mga detalye sa ang sumusunod na link.