Esta Liberar apache Servidor HTTP 2.4.52 ha sido lanzado , Que contiene 25 cambios y reparar 2 vulnerabilidades :
- -2021-44790 CVE – Desbordamiento de búfer en mod_lua, Manifestado La solicitud de análisis consta de varias partes (multiparte). Esta vulnerabilidad afecta al script Lua que llama a la función r: parsebody () para analizar la configuración del cuerpo de la solicitud y permite que un atacante envíe una solicitud especialmente diseñada para lograr el desbordamiento del búfer. Aún no se ha determinado que existe una vulnerabilidad, pero el problema puede provocar que su código se ejecute en el servidor.
- CVE-2021-44224 —— SSRF Vulnerabilidad en mod_proxy (falsificación de solicitud del lado del servidor), que permite en una configuración con el ajuste «ProxyRequests on», a través de una solicitud de un URI especialmente formateado, la solicitud es redirigida al mismo servidor a través de otro proceso que acepta la conexión a través de Unix. dominio Programa socket. El problema también se puede utilizar para provocar un bloqueo creando una condición que elimine la referencia a un puntero nulo. Este problema afecta a las versiones httpd de Apache desde 2.4.7.
Cambios notables no relacionados con la seguridad:
- Se agregó soporte para compilar con la biblioteca OpenSSL 3 en mod_ssl.
- Se mejoró la detección de la biblioteca OpenSSL en el script autoconf.
- En mod_proxy del protocolo de túnel, puede deshabilitar la redirección de conexiones TCP medio cerradas configurando el parámetro «SetEnv proxy-nohalfclose».
- Se ha agregado una verificación adicional para garantizar que el URI que no se usa para el proxy contiene el esquema http / https, pero que el URI que se usa para el proxy contiene el nombre de host.
- En mod_proxy_connect y mod_proxy, está prohibido cambiar el código de estado después de enviarlo al cliente.
- Después de recibir una solicitud con el título «Esperar: 100-Continuar», se envía una respuesta provisional y el resultado es un estado de «100 Continuar» en lugar del estado actual de la solicitud.
- Mod_dav agrega soporte para extensiones CalDAV Al generar atributos, se deben considerar tanto los elementos del documento como los de los atributos. Se han agregado nuevas funciones dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () y dav_find_attr (), que se pueden llamar desde otros módulos.
- Mpm_event resuelto problema Detenga los procesos secundarios inactivos después de un aumento repentino en la carga del servidor.
- En mod_http2, se corrigió un cambio de regresión que causaba un comportamiento incorrecto al procesar las restricciones MaxRequestsPerChild y MaxConnectionsPerChild.
- La función del módulo mod_md se utiliza para recibir y mantener certificados automáticamente utilizando el protocolo ACME (Entorno de gestión automática de certificados), que se ha ampliado:
- Par añadido Enlace de cuenta externa ACME (EAB), use el comando MDExternalAccountBinding para habilitar. El valor de EAB se puede configurar desde un archivo JSON externo para que los parámetros de autenticación no se expongan en el archivo de configuración del servidor principal.
- La instrucción «MDCertificateAuthority» proporciona la verificación de las instrucciones en el parámetro URL http / https o uno de los nombres predefinidos («LetsEncrypt», «LetsEncrypt-Test», «Buypass» y «Buypass-Test»).
- Permitir especificar el comando MDContactEmail internamente
parte. - Se solucionaron varios errores, incluida una pérdida de memoria que se produjo cuando la clave privada no se pudo cargar.
