The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-сервера Apache 2.4.52 с устранением переполнения буфера в mod_lua

22.12.2021 10:25

Опубликован релиз HTTP-сервера Apache 2.4.52, в котором представлено 25 изменений и устранены 2 уязвимости:

  • CVE-2021-44790 - переполнение буфера в mod_lua, проявляющееся при разборе запросов, состоящих из нескольких частей (multipart). Уязвимость затрагивает конфигурации, в которых Lua-скрипты вызывают функцию r:parsebody() для разбора тела запроса, и позволяют атакующему добиться переполнения буфера через отправку специально оформленного запроса. Фактов наличия эксплоита пока не выявлено, но потенциально проблема может привести к выполнению своего кода на сервере.
  • CVE-2021-44224 - SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая в конфигурациях с настройкой "ProxyRequests on" через запрос специально оформленного URI добиться перенаправления запроса на другой обработчик на том же сервере, принимающий соединения через Unix Domain Socket. Проблема также может быть использована для вызова краха через создание условий для разыменования нулевого указателя. Проблема затрагивает версии Apache httpd начиная с версии 2.4.7.

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_ssl добавлена поддержка сборки с библиотекой OpenSSL 3.
  • Улучшено определение библиотеки OpenSSL в скриптах autoconf.
  • В mod_proxy для протоколов туннелирования предоставлена возможность отключения перенаправления полуоткрытых (half-close) TCP-соединений через выставление параметра "SetEnv proxy-nohalfclose".
  • Добавлены дополнительные проверки, что URI не предназначенные для проксирования содержат схему http/https, а предназначенные для проксирования содержат имя хоста.
  • В mod_proxy_connect и mod_proxy запрещено изменение кода состояния после отправки его клиенту.
  • При отправке промежуточных ответов после получения запросов с заголовком "Expect: 100-Continue" обеспечено указание в результате состояния "100 Continue", а не текущего состояния запроса.
  • В mod_dav добавлена поддержка расширений CalDAV, в которых при генерации свойства должны учитываться как элементы документа, так и элементы свойства. Добавлены новые функции dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() и dav_find_attr(), которые можно вызывать из других модулей.
  • В mpm_event решена проблема с остановкой простаивающих дочерних процессов после всплеска нагрузки на сервер.
  • В mod_http2 устранены регрессивные изменения, приводящие к некорректному поведению при обработке ограничений MaxRequestsPerChild и MaxConnectionsPerChild.
  • Расширены возможности модуля mod_md, применяемого для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment):
    • Добавлена поддержка механизма ACME External Account Binding (EAB), включаемого при помощи директивы MDExternalAccountBinding. Значения для EAB могут быть настроены из внешнего файла в формате JSON, что позволяет не раскрывать параметры аутентификации в основном файле конфигурации сервера.
    • В директиве 'MDCertificateAuthority' обеспечена проверка указания в параметре URL http/https или одного из предопределённых имён ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' и 'Buypass-Test').
    • Разрешено указание директивы MDContactEmail внутри секции <MDomain dnsname>.
    • Исправлено несколько ошибок, в том числе устранена утечка памяти, возникающая в случае сбоев при загрузке закрытого ключа.


  1. Главная ссылка к новости (https://downloads.apache.org/h...)
  2. OpenNews: Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта
  3. OpenNews: Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта
  4. OpenNews: Релиз http-сервера Apache 2.4.49 с устранением уязвимостей
  5. OpenNews: Релиз http-сервера Apache 2.4.48
  6. OpenNews: Проект Let's Encrypt представил модуль для http-сервера Apache
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56387-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:40, 22/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у апача есть какой-то роадмап? Хотелось бы почитать.
     
     
  • 2.2, Аноним (2), 10:49, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Апачи не нужна дорога, а путь подскажет мескаль
     
     
  • 3.7, Аноним (7), 11:21, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Апачи не нужна дорога

    Апачу нужен твой скальп, (наверняка) бледнолицый Аноним.

     
  • 2.3, Пичот (?), 10:57, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У апача нету цели, есть только путь.
     
  • 2.4, Аноним (4), 11:00, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А у апача есть какой-то роадмап?

    Стать nginx.

     
     
  • 3.5, Аноним (5), 11:13, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Казалось бы, новость совсем не об этом, но... похоже лишняя хромосома не позволяет анонимусу промолчать про nginx
     
     
  • 4.6, Аноним (4), 11:16, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Опа, обиженых привезли. Или не увозили даже.
     
     
  • 5.8, Аноним (7), 11:26, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как там тяжбы судебные?
     
     
  • 6.12, Аноним (4), 13:24, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да нормально, а у тебя как?
     
     
  • 7.19, Аноним (7), 15:50, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не жалуюсь, спасибо
     
  • 4.13, Аноним (4), 13:38, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А чо у тебя припекло-то?
     
     
  • 5.17, Аноним (17), 14:45, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С апачом люди не от хорошей жизни возятся.
     
  • 4.29, Тот_Самый_Анонимус (?), 01:21, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Казалось бы, новость совсем не об этом, но... похоже лишняя хромосома не позволяет анонимусу промолчать про nginx

    А это всегда так. Либрофилы лезут в новости об опенофисе, когда их никто не спрашивал. тут нечто аналогичное.

     
  • 3.25, Онаним (?), 21:55, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В смысле прекратить с динамикой работать, кроме как по FCGI?
    Спасибо, нет.
     
  • 2.27, Аноним (-), 08:15, 23/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У апача есть инкубатор. В него сваливают загнивший корпоративный хлам.
     

  • 1.9, DEF (?), 11:59, 22/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    90% недохостеров всея Руси все еще сидят на версии 2.4.6.
     
     
  • 2.10, Аноним (5), 12:19, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ибо CentOS 7, стабильноЪ
     
     
  • 3.11, Аноним (11), 12:53, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ибо рук нету пару раз нажать на кнопки
     
     
  • 4.28, ist (?), 19:47, 23/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ибо работает - не трогай.
     
  • 2.14, Аноним (14), 14:03, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И правильно делают. Последнее время до кода Apache допустили ребят у которых чешутся руки, что-нибудь поменять или поправить. mod_lua и mod_http2 - это как раз из разряда новомодных добавлений, в которых дыры и баги лезут пачками. И я не говорю про красавцев, которые учудили это https://www.opennet.ru/opennews/art.shtml?num=55924 Какой чёрт их дёрнул 25 лет работающий без нареканий код нормализации путей переписывать?
     
     
  • 3.15, Чероки раскуривает топор (?), 14:05, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    25 лет назад HTTP2 не было. Что значит переписывать?
     
     
  • 4.16, Аноним (17), 14:44, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сейчас тебе расскажут, что после HTTP/0.9 были только "смузипoделки от хипcторов", которые "нормальному одмину нафиг не нужны".
     
     
  • 5.20, Аноним (20), 16:22, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот, ты сам и рассказал.
     
  • 4.21, Аноним (14), 19:19, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Переписывание парсера, которое привело к дыре https://www.opennet.ru/opennews/art.shtml?num=55924 никак не связано с HTTP/2.  mod_http2 я привёл как пример кода от нового поколения разработчиков, в котором почти в каждой новой версии Apache куча багов и дыр продолжает всплывать, а ведь mod_http2 добавили в Apache в 2015 году и с тех пор нормально так и не отладили.
     
  • 3.18, Mike Lee (?), 14:50, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    так выключи, если не пользуешься, в чем проблема то?
     
  • 2.23, Онаним (?), 21:43, 22/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В которой ещё блин так получилось, что с местной же версией openssl не работает нормально secure renegotiation...
     

  • 1.22, Онаним (?), 21:42, 22/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, вот фикс к mpm_event как нельзя кстати подъехал.
     
  • 1.24, Онаним (?), 21:49, 22/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чего вот это пропущено в новости?

    core: Be safe with ap_lingering_close() called with a socket NULL-ed by a third-party module.  PR 65627. [acmondor <bz.apache.org acmondor.ca>, Yann Ylavic]

    Решает проблему с сегфолтом после выполнения некоторых запросов во время терминации процессов, при использовании mpm_itk, например. Очень даже хостерская болячка. Особого геморроя не доставляет, но ловить сегфолты в системных логах не есть приятно. У некоторых вообще чуть ли не каждый процесс сегфолтился, видимо какие-то звёзды ещё сходились.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру