Релиз http-сервера Apache 2.4.43

Опубликован релиз HTTP-сервера Apache 2.4.43 (выпуск 2.4.42 был пропущен), в котором представлено 34 изменения и устранено 3 уязвимости:

• CVE-2020-1927: уявзимость в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые настройки mod_rewrite могут привести к пробросу пользователя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе.
• CVE-2020-1934: уязвимость в mod_proxy_ftp. Использование неинициализированных значений может привести к утечке содержимого памяти при проксировании запросов к FTP-серверу, подконтрольному злоумышленнику.
• Утечка памяти в mod_ssl, возникающая при скреплении запросов OCSP.

Наиболее заметные изменения, не связанные с безопасностью:

• Добавлен новый модуль mod_systemd, обеспечивающий интеграцию с системным менеджером systemd. Модуль позволяет использовать httpd в сервисах с типом «Type=notify».
• В apxs добавлена поддержка кросс-компиляции.
• Расширены возможности модуля mod_md, разработанного проектом Let’s Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment):
  • Добавлена директива MDContactEmail , через которую можно указать контактный email, не пересекающийся с данными из директивы ServerAdmin.
  • Для всех виртуальных хостов обеспечена проверка поддержки протокола, используемого при согласовании защищённого канала связи («tls-alpn-01»).
  • Разрешено использование директив mod_md в блоках <If> и <Macro>.
  • Обеспечена замена прошлых настроек при повторном использовании MDCAChallenges.
  • Добавлена возможность настройки url для CTLog Monitor.
  • Для определённых в директиве MDMessageCmd команд обеспечен вызов с аргументом «installed» при активации нового сертификата после перезапуска сервера (например, можно использовать для копирования или преобразования нового сертификата для других приложений).
• mod_proxy_hcheck добавлена поддержка маски %{Content-Type} в проверочных выражениях.
• В mod_usertrack добавлены режимы CookieSameSite, CookieHTTPOnly и CookieSecure для настройки обработки Сookie usertrack.
• В mod_proxy_ajp для прокси-обработчиков реализован параметр «secret» для поддержки устаревшего протокола аутентификации AJP13.
• Добавлен набор конфигурации для OpenWRT.
• В mod_ssl добавлена поддержка использования закрытых ключей и сертификатов из OpenSSL ENGINE через указание URI PKCS#11 в SSLCertificateFile/KeyFile.
• Реализовано тестирование с использованием системы непрерывной интеграции Travis CI.
• Ужесточён разбор заголовков Transfer-Encoding.
• В mod_ssl обеспечено согласование протокола TLS в привязке к виртуальным хостам (поддерживается при сборке с OpenSSL-1.1.1+.
• За счёт применения хэширования для таблиц команд ускорен перезапуск в режиме «graceful» (без обрыва выполняемых обработчиков запросов).
• В mod_lua добавлены таблицы r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table и r:subprocess_env_table, доступные в режиме только для чтения. Разрешено назначение таблицам значения «nil».
• В mod_authn_socache со 100 до 256 увеличен лимит на размер кэшируемой строки.

Источник: opennet.ru