Опубликован релиз HTTP-сервера Apache 2.4.48 (выпуск 2.4.47 был пропущен), в котором представлено 39 изменений и устранено 8 уязвимостей:
- CVE-2021-30641 – неверное срабатывание секции в режиме ‘MergeSlashes OFF’;
- CVE-2020-35452 – переполнение стека на один нулевой байт в mod_auth_digest;
- CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 – разыменования указателя NULL в mod_http2, mod_session и mod_proxy_http;
- CVE-2020-13938 – возможность остановки процесса httpd непривилегированным пользователем в Windows;
- CVE-2019-17567 – проблемы с согласованием протоколов в mod_proxy_wstunnel и mod_proxy_http.
Наиболее заметные изменения, не связанные с безопасностью:
- В mod_proxy_wstunnel добавлена настройка ProxyWebsocketFallbackToProxyHttp для отключения перехода на использование mod_proxy_http для WebSocket.
- В основной серверный API включены связанные с SSL функции, которые теперь доступны без модуля mod_ssl (например, позволяют модулю mod_md предоставлять ключи и сертификаты).
- Обработка ответов OCSP (Online Certificate Status Protocol) перенесена из mod_ssl/mod_md в базовую часть, что позволяет другими модулям обращаться к данным OCSP и формировать ответы OCSP.
- В mod_md разрешено использование масок в директиве MDomains, например, “MDomain *.host.net”. В директиве MDPrivateKeys разрешено указание разных типов ключей, например “MDPrivateKeys secp384r1 rsa2048” позволяет использовать сертификаты ECDSA и RSA. Уделена поддержка устаревшего протокола ACMEv1.
- В mod_lua добавлена поддержка Lua 5.4.
- Обновлена версия модуля mod_http2. Улучшена обработка ошибок. Добавлена опция ‘H2OutputBuffering on/off’ для управления буферизацией вывода (по умолчанию включена).
- В mod_dav_в директиве FileETag реализован режим “Digest” для генерации ETag на основе хэша от содержимого файла.
- В mod_proxy разрешено ограничение применения ProxyErrorOverride отдельными кодами состояния.
- Реализованы новые директивы ReadBufferSize, FlushMaxThreshold и FlushMaxPipelined.
- В mod_rewrite реализована обработка атрибута SameSite при разборе флага [CO] (cookie) в директиве RewriteRule.
- В mod_proxy добавлен хук check_trans для отклонения запросов на ранней стадии.
Release.
Ссылка here.