几天前 Apache HTTP 2.4.52 服务器新版本发布 其中进行了大约 25 处更改,此外还对 2 个漏洞进行了更正。
对于那些还不了解 Apache HTTP 服务器的人来说,他们应该知道这是一个开源的、跨平台的 HTTP Web 服务器,它根据 RFC 1.1 标准实现了 HTTP/2616 协议和虚拟站点的概念。
Apache HTTP 2.4.52 中有哪些新功能?
在这个新版本的服务器中,我们可以发现 在 mod_ssl 中添加了对使用 OpenSSL 3 库进行构建的支持此外,还改进了 OpenSSL 库中 autoconf 脚本中的检测。
在这个新版本中脱颖而出的另一个新奇之处在于 模组代理 对于隧道协议, 可以禁用 TCP 连接的重定向 通过设置“SetEnv proxy-nohalfclose”参数半关闭。
En mod_proxy_connect 和 mod_proxy,禁止更改状态码 发送给客户后。
在 mod_dav 添加对 CalDAV 扩展的支持, 在生成属性时必须同时考虑文档和属性元素。 新增了dav_validate_root_ns()、dav_find_child_ns()、dav_find_next_ns()、dav_find_attr_ns()和dav_find_attr()函数,可以从其他模块调用。
En mod_http2,导致错误行为的向后更改已得到修复 在处理 MaxRequestsPerChild 和 MaxConnectionsPerChild 约束时。
还注意到 mod_md 模块的功能,用于通过 ACME 协议(自动证书管理环境)自动接收和维护证书,已经扩展:
增加了对 ACME 机制的支持 外部帐户绑定 (EAB),由 MDExternalAccountBinding 指令启用。 可以从外部 JSON 文件配置 EAB 的值,这样身份验证参数就不会暴露在主服务器配置文件中。
指示 'MDCertificateAuthority' 提供验证 url 参数中的指示 http / https 或预定义名称之一(“LetsEncrypt”、“LetsEncrypt-Test”、“Buypass”和“Buypass-Test”)。
在这个新版本中突出的其他变化:
- 添加了额外的检查,即不是发往代理的 URI 包含 http / https 方案,但发往代理的 URI 包含主机名。
- 在接收到带有“Expect: 100-Continue”标头的请求后发送临时响应用于指示“100 Continue”状态的结果,而不是请求的当前状态。
- Mpm_event 解决了在服务器负载激增后停止非活动子进程的问题。
- 允许在该部分中指定 MDContactEmail 指令.
- 修复了几个错误,包括未加载私钥时发生的内存泄漏。
至于 已修复的漏洞 在这个新版本中,提到了以下内容:
- CVE 2021-44790: mod_lua 中的缓冲区溢出,解析请求表现出来,由多个部分(multipart)组成。 该漏洞影响 Lua 脚本调用 r:parsebody() 函数解析请求正文并允许攻击者通过发送特制请求实现缓冲区溢出的配置。 存在漏洞的事实尚未确定,但问题可能会导致您的代码在服务器上执行。
- SSRF 漏洞 (服务器端请求伪造):在 mod_proxy 中,它允许在具有“ProxyRequests on”选项的配置中,通过来自特殊形成的 URI 的请求,将请求重定向到同一服务器上的另一个控制器,该控制器通过套接字 Unix 域。 该问题还可用于通过创建条件来删除对空指针的引用而导致崩溃。 该问题影响自 2.4.7 以来的 Apache 的 httpd 版本。
最后,如果您有兴趣了解更多关于这个新发布版本的信息,您可以查看详细信息 以下链接。