Apache HTTP服务器项目日前发布了Apache HTTP Server 2.4.51版本,本次更新主要修复了在2.4.50中发现的安全漏洞CVE-2021-42013,以及其他安全、功能和修复,建议用户及时升级。目前官方已经放开Apache HTTP Server 2.4.51安装包下载:
Apache HTTP Server 2.4.51主要更新:
解决安全漏洞CVE-2021-42013。Apache HTTP 中2.4.50的修复补丁CVE-2021-41773 修复不完整,导致新的漏洞CVE-2021-42013。该漏洞会影响Apache 2.4.49 和 Apache 2.4.50,早期版本不受影响。
添加ap_unescape_url_ex() 以获得更好的解码控制,并启用了未使用的 AP_NORMALIZE_DROP_PARAMETERS 标志。
Apache HTTP Server 2.4.51版本需要 Apache Portable Runtime (APR) 1.5.x 和 APR-Util,1.5.x以上版本 某些功能可能需要 1.6.x APR 和 APR-Util 的版本。APR 库必须升级 httpd 的所有功能都可以正常运行。此版本基于并扩展了 Apache 2.2 API。 为 Apache 2.2 运行需要重新编译为 Apache 2.2 编写的模块,并且需要很少或不需要更改源代码。
升级或安装Apache HTTP Server 2.4.51版本时,如果打算将Apache与其中一个线程 MPM(其他Prefork MPM),则必须确保将使用的任何模块using(以及它们依赖的库)是线程安全的。
值得注意的是,Apache HTTP Server 2.2.x 分支现在已经结束版本的生命周期,并且不会进一步更新。用户必须立即升级到2.4.x。或者也可以考虑使用Nginx代替Apache。