Релиз http-сервера Apache 2.4.4802.06.2021 13:00

Опубликован релиз HTTP-сервера Apache 2.4.48 (выпуск 2.4.47 был пропущен), в котором представлено 39 изменений и устранено 8 уязвимостей:

  • CVE-2021–30641 — неверное срабатывание секции ‹Location› в режиме 'MergeSlashes OFF';
  • CVE-2020–35452 — переполнение стека на один нулевой байт в mod_auth_digest;

  • CVE-2021–31618, CVE-2020–26691, CVE-2020–26690, CVE-2020–13950 — разыменования указателя NULL в mod_http2, mod_session и mod_proxy_http;

  • CVE-2020–13938 — возможность остановки процесса httpd непривилегированным пользователем в Windows;
  • CVE-2019–17567 — проблемы с согласованием протоколов в mod_proxy_wstunnel и mod_proxy_http.

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_proxy_wstunnel добавлена настройка ProxyWebsocketFallbackToProxyHttp для отключения перехода на использование mod_proxy_http для WebSocket.

  • В основной серверный API включены связанные с SSL функции, которые теперь доступны без модуля mod_ssl (например, позволяют модулю mod_md предоставлять ключи и сертификаты).

  • Обработка ответов OCSP (Online Certificate Status Protocol) перенесена из mod_ssl/mod_md в базовую часть, что позволяет другими модулям обращаться к данным OCSP и формировать ответы OCSP.

  • В mod_md разрешено использование масок в директиве MDomains, например, «MDomain *.host.net». В директиве MDPrivateKeys разрешено указание разных типов ключей, например «MDPrivateKeys secp384r1 rsa2048» позволяет использовать сертификаты ECDSA и RSA. Уделена поддержка устаревшего протокола ACMEv1.

  • В mod_lua добавлена поддержка Lua 5.4.

  • Обновлена версия модуля mod_http2. Улучшена обработка ошибок. Добавлена опция 'H2OutputBuffering on/off' для управления буферизацией вывода (по умолчанию включена).

  • В mod_dav_в директиве FileETag реализован режим «Digest» для генерации ETag на основе хэша от содержимого файла.

  • В mod_proxy разрешено ограничение применения ProxyErrorOverride отдельными кодами состояния.
  • Реализованы новые директивы ReadBufferSize, FlushMaxThreshold и FlushMaxPipelined.
  • В mod_rewrite реализована обработка атрибута SameSite при разборе флага [CO] (cookie) в директиве RewriteRule.

  • В mod_proxy добавлен хук check_trans для отклонения запросов на ранней стадии.



Источник: http://www.opennet.ru/opennews/art.shtml? num=55252

© OpenNet