Кілька днів тому оголошено про вихід нової версії сервера Apache HTTP 2.4.52 в якому було внесено близько 25 змін і, крім того, виправлено 2 уразливості.
Для тих, хто ще не знає про HTTP-сервер Apache, вони повинні знати, що це відкритий кросплатформний HTTP веб-сервер, який реалізує протокол HTTP / 1.1 і поняття віртуального сайту відповідно до стандарту RFC 2616.
Що нового в Apache HTTP 2.4.52?
У цій новій версії сервера ми можемо це знайти додано підтримку для створення бібліотеки OpenSSL 3 в mod_sslКрім того, було покращено виявлення в бібліотеці OpenSSL в сценаріях autoconf.
Ще одна новинка, яка виділяється в цій новій версії, - це mod_proxy для тунельних протоколів, можна вимкнути перенаправлення TCP-з'єднань наполовину закрито, встановивши параметр «SetEnv proxy-nohalfclose».
En mod_proxy_connect і mod_proxy, заборонено змінювати код статусу після відправлення замовнику.
Хоча в mod_dav додає підтримку розширень CalDAV, При створенні властивості необхідно враховувати як елементи документа, так і елементи властивості. Додано нові функції dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () і dav_find_attr (), які можна викликати з інших модулів.
En mod_http2, виправлено зміни, що ведуть до неправильної поведінки при обробці обмежень MaxRequestsPerChild і MaxConnectionsPerChild.
Також зазначається, що розширені можливості модуля mod_md, що використовується для автоматизації прийому та обслуговування сертифікатів через протокол ACME (Automatic Certificate Management Environment):
Додано підтримку механізму ACME Зовнішнє прив’язування облікового запису (EAB), яке вмикається директивою MDExternalAccountBinding. Значення для EAB можна налаштувати із зовнішнього файлу JSON, щоб параметри аутентифікації не відображалися в основному файлі конфігурації сервера.
Директива "MDCertificateAuthority" забезпечує перевірку вказівка в параметрі url http / https або одне із попередньо визначених імен ("LetsEncrypt", "LetsEncrypt-Test", "Buypass" і "Buypass-Test").
З інших змін, які виділяються в цій новій версії:
- Додано додаткові перевірки того, що URI, які не призначені для проксі, містять схему http/https, але ті, які призначені для проксі, містять ім’я хоста.
- Надсилання проміжних відповідей після отримання запитів із заголовком «Очікуйте: 100-Продовжити» надається для вказівки результату статусу «100 Продовжити» замість поточного статусу запиту.
- Mpm_event вирішує проблему зупинки неактивних дочірніх процесів після різкого навантаження на сервер.
- Дозволено вказувати директиву MDContactEmail у межах розділу .
- Було виправлено кілька помилок, включаючи витік пам’яті, який виникає, коли приватний ключ не завантажується.
Як уразливості, які були виправлені у цій новій версії згадується наступне:
- CVE 2021-44790: Переповнення буфера в mod_lua, виявлені запити на синтаксичний аналіз, що складаються з кількох частин (багато частин). Уразливість впливає на конфігурації, в яких скрипти Lua викликають функцію r: parsebody (), щоб проаналізувати тіло запиту і дозволити зловмиснику досягти переповнення буфера, надіславши спеціально створений запит. Факти наявності експлойту ще не встановлені, але потенційно проблема може призвести до виконання вашого коду на сервері.
- Уразливість SSRF (Server Side Request Forgery): у mod_proxy, який дозволяє в конфігураціях з опцією "ProxyRequests on" через запит від спеціально сформованого URI перенаправляти запит на інший контролер на тому самому сервері, який приймає підключення через сокет Unix домену. Проблему також можна використати для збою, створивши умови для видалення посилання на нульовий покажчик. Проблема стосується httpd-версій Apache, починаючи з 2.4.7.
Нарешті, якщо вам цікаво дізнатися більше про цю нову випущену версію, ви можете перевірити деталі в за наступним посиланням.