28.11.2021

Релиз http-сервера Apache 2.4.48

Опубликован релиз HTTP-сервера Apache 2.4.48 (выпуск 2.4.47 был пропущен), в котором представлено 39 изменений и устранено 8 уязвимостей:

  • CVE-2021-30641 — неверное срабатывание секции <Location> в режиме ‘MergeSlashes OFF’;
  • CVE-2020-35452 — переполнение стека на один нулевой байт в mod_auth_digest;
  • CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 — разыменования указателя NULL в mod_http2, mod_session и mod_proxy_http;
  • CVE-2020-13938 — возможность остановки процесса httpd непривилегированным пользователем в Windows;
  • CVE-2019-17567 — проблемы с согласованием протоколов в mod_proxy_wstunnel и mod_proxy_http.

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_proxy_wstunnel добавлена настройка ProxyWebsocketFallbackToProxyHttp для отключения перехода на использование mod_proxy_http для WebSocket.
  • В основной серверный API включены связанные с SSL функции, которые теперь доступны без модуля mod_ssl (например, позволяют модулю mod_md предоставлять ключи и сертификаты).
  • Обработка ответов OCSP (Online Certificate Status Protocol) перенесена из mod_ssl/mod_md в базовую часть, что позволяет другими модулям обращаться к данным OCSP и формировать ответы OCSP.
  • В mod_md разрешено использование масок в директиве MDomains, например, «MDomain *.host.net». В директиве MDPrivateKeys разрешено указание разных типов ключей, например «MDPrivateKeys secp384r1 rsa2048» позволяет использовать сертификаты ECDSA и RSA. Уделена поддержка устаревшего протокола ACMEv1.
  • В mod_lua добавлена поддержка Lua 5.4.
  • Обновлена версия модуля mod_http2. Улучшена обработка ошибок. Добавлена опция ‘H2OutputBuffering on/off’ для управления буферизацией вывода (по умолчанию включена).
  • В mod_dav_в директиве FileETag реализован режим «Digest» для генерации ETag на основе хэша от содержимого файла.
  • В mod_proxy разрешено ограничение применения ProxyErrorOverride отдельными кодами состояния.
  • Реализованы новые директивы ReadBufferSize, FlushMaxThreshold и FlushMaxPipelined.
  • В mod_rewrite реализована обработка атрибута SameSite при разборе флага [CO] (cookie) в директиве RewriteRule.
  • В mod_proxy добавлен хук check_trans для отклонения запросов на ранней стадии.

Источник.