幾天前 Apache HTTP 2.4.52 服務器新版本發布 其中進行了大約 25 處更改,此外還對 2 個漏洞進行了更正。
對於那些還不了解 Apache HTTP 服務器的人來說,他們應該知道這是一個開源的、跨平台的 HTTP Web 服務器,它根據 RFC 1.1 標準實現了 HTTP/2616 協議和虛擬站點的概念。
Apache HTTP 2.4.52 有哪些新變化?
在這個新版本的服務器中,我們可以發現 添加了對在 mod_ssl 中使用 OpenSSL 3 庫進行構建的支持此外,在 autoconf 腳本中的 OpenSSL 庫中改進了檢測。
在這個新版本中脫穎而出的另一個新穎之處在於 模組代理 對於隧道協議, 可以禁用 TCP 連接的重定向 通過設置“SetEnv proxy-nohalfclose”參數半關閉。
En mod_proxy_connect 和 mod_proxy,禁止更改狀態碼 發送給客戶後。
而在 mod_dav 添加了對 CalDAV 擴展的支持, 在生成屬性時必須同時考慮文檔和屬性元素。 新增了dav_validate_root_ns()、dav_find_child_ns()、dav_find_next_ns()、dav_find_attr_ns()和dav_find_attr()函數,可以從其他模塊調用。
En mod_http2,已修復導致錯誤行為的向後更改 處理 MaxRequestsPerChild 和 MaxConnectionsPerChild 約束時。
還值得注意的是,用於通過 ACME 協議(自動證書管理環境)自動接收和維護證書的 mod_md 模塊的功能已得到擴展:
增加了對 ACME 機制的支持 外部帳戶綁定 (EAB),由 MDExternalAccountBinding 指令啟用。 可以從外部 JSON 文件配置 EAB 的值,這樣身份驗證參數就不會暴露在主服務器配置文件中。
指示 'MDCertificateAuthority' 提供驗證 url參數中的指示 http / https 或預定義名稱之一(“LetsEncrypt”、“LetsEncrypt-Test”、“Buypass”和“Buypass-Test”)。
在這個新版本中突出的其他變化:
- 添加了額外的檢查,以確保不發往代理的 URI 包含 http / https 方案,但發往代理的 URI 包含主機名。
- 在接收到帶有標題“Expect: 100-Continue”的請求後發送臨時響應是為了指示“100 Continue”狀態的結果而不是請求的當前狀態。
- Mpm_event 解決了在服務器負載激增後停止不活動子進程的問題。
- 允許在該部分中指定 MDContactEmail 指令.
- 修復了幾個錯誤,包括未加載私鑰時發生的內存洩漏。
由於 已修復的漏洞 在這個新版本中,提到了以下內容:
- CVE 2021-44790: mod_lua中的緩衝區溢出,解析請求體現出來,由多個部分(multipart)組成。 該漏洞影響 Lua 腳本調用 r:parsebody() 函數解析請求體的配置,並允許攻擊者通過發送特製的請求來實現緩衝區溢出。 存在漏洞的事實尚未確定,但該問題可能會導致您的代碼在服務器上執行。
- SSRF 漏洞 (服務器端請求偽造):在 mod_proxy 中,它允許在具有“ProxyRequests on”選項的配置中,通過來自特殊格式的 URI 的請求,將請求重定向到同一服務器上的另一個控制器,該服務器通過套接字 Unix 接受連接領域。 該問題還可用於通過創建條件來刪除對空指針的引用而導致崩潰。 該問題影響自 2.4.7 以來的 Apache 的 httpd 版本。
最後,如果你有興趣了解更多關於這個新發布的版本,你可以查看詳細信息 以下鏈接。