Apache HTTP 2.4.52 llego a solucionar 2 vulnerabilidades y varios cambios
Hace ya varios dias se dio a conocer el lanzamiento de la nueva versión del servidor Apache HTTP 2.4.52 en la cual se realizaron cerca de 25 cambios y que ademas se realizó la corrección es de 2 vulnerabilidades.
Para quienes aun desconocen del servidor HTTP Apache, deben saber que este es un servidor web HTTP de código abierto, multiplataforma y que implementa el protocolo HTTP/1.1 y la noción de sitio virtual según la normativa RFC 2616.
¿Que hay de nuevo en Apache HTTP 2.4.52?
En esta nueva versión del servidor podremos encontrar que se agregó el soporte para construir con la biblioteca OpenSSL 3 en mod_ssl, ademas de que la detección fue mejorada en la biblioteca OpenSSL en scripts de autoconf.
Otra de las novedades que se destaca de esta nueva versión es en el mod_proxy para protocolos de tunelización, es posible deshabilitar la redirección de conexiones TCP medio cerradas configurando el parámetro «SetEnv proxy-nohalfclose».
En mod_proxy_connect y mod_proxy, está prohibido cambiar el código de estado después de enviarlo al cliente.
Mientras que en mod_dav agrega soporte para extensiones CalDAV, que deben tener en cuenta tanto los elementos del documento como los de la propiedad al generar una propiedad. Se agregaron nuevas funciones dav_validate_root_ns(), dav_find_child_ns(), dav_find_next_ns(), dav_find_attr_ns() y dav_find_attr(), que se pueden llamar desde otros módulos.
En mod_http2, se han corregido los cambios regresivos que conducen a un comportamiento incorrecto al manejar las restricciones MaxRequestsPerChild y MaxConnectionsPerChild.
Tambien se destaca que se han ampliado las capacidades del módulo mod_md, utilizado para automatizar la recepción y el mantenimiento de certificados mediante el protocolo ACME (Entorno de gestión automática de certificados):
Se agregó soporte para el mecanismo ACME External Account Binding (EAB), que se habilita mediante la directiva MDExternalAccountBinding. Los valores para el EAB se pueden configurar desde un archivo JSON externo para que los parámetros de autenticación no queden expuestos en el archivo de configuración del servidor principal.
La directiva ‘MDCertificateAuthority’ proporciona la verificación de la indicación en el parámetro de URL http/https o uno de los nombres predefinidos (‘LetsEncrypt’, ‘LetsEncrypt-Test’, ‘Buypass’ y ‘Buypass-Test’).
De los demas cambios que se destacan de esta nueva version:
- Se agregaron comprobaciones adicionales de que los URI que no están destinados al proxy contienen el esquema http/https, pero los que están destinados al proxy contienen el nombre de host.
- El envío de respuestas provisionales después de recibir solicitudes con el encabezado «Expect:100-Continue» se proporciona para indicar el resultado del estado «100 Continue» en lugar del estado actual de la solicitud.
- Mpm_event resuelve el problema de detener los procesos secundarios inactivos después de un pico en la carga del servidor.
- Se permite especificar la directiva MDContactEmail dentro de la sección <MDomain dnsname>.
- Se han corregido varios errores, incluida una pérdida de memoria que se produce cuando una clave privada no se carga.
En cuanto a las vulnerabilidades que fueron solucionadas en esta nueva versión se menciona lo siguiente:
- CVE 2021-44790 : desbordamiento de búfer en mod_lua, solicitudes de análisis manifestadas , que consta de varias partes (multiparte). La vulnerabilidad afecta las configuraciones en las que los scripts de Lua llaman a la función r: parsebody () para analizar el cuerpo de la solicitud y permitir que un atacante logre un desbordamiento del búfer enviando una solicitud especialmente diseñada. Los hechos de la presencia de un exploit aún no se han identificado, pero potencialmente el problema puede llevar a la ejecución de su código en el servidor.
- Vulnerabilidad SSRF (Server Side Request Forgery): en mod_proxy, que permite, en configuraciones con la opción «ProxyRequests on», mediante una solicitud de un URI especialmente formado, redirigir la solicitud a otro controlador en el mismo servidor que acepta conexiones a través de un socket de dominio Unix. El problema también se puede utilizar para provocar un bloqueo creando condiciones para eliminar la referencia a un puntero nulo. El problema afecta a las versiones httpd de Apache desde 2.4.7.
Finalmente si estás interesado en poder conocer más al respecto sobre esta nueva versión liberada, puedes consultar los detalles en el siguiente enlace.