ProHoster > Blog > internet nuus > Apache http-bediener vrystelling 2.4.43

Apache http-bediener vrystelling 2.4.43

gepubliseer vrystelling van die Apache HTTP-bediener 2.4.43 (vrystelling 2.4.42 is oorgeslaan), wat bekendgestel het 34 veranderinge en uitgeskakel 3 kwesbaarhede:

  • CVE-2020-1927: 'n kwesbaarheid in mod_rewrite wat toelaat dat die bediener gebruik word om versoeke na ander hulpbronne aan te stuur (oop herleiding). Sommige mod_rewrite-instellings kan daartoe lei dat die gebruiker na 'n ander skakel aangestuur word, geënkodeer met 'n nuwelynkarakter binne 'n parameter wat in 'n bestaande herleiding gebruik word.
  • CVE-2020-1934: kwesbaarheid in mod_proxy_ftp. Die gebruik van ongeinitialiseerde waardes kan tot geheuelekkasies lei wanneer versoeke na 'n aanvaller-beheerde FTP-bediener gestuur word.
  • Geheuelek in mod_ssl wat plaasvind wanneer OCSP-versoeke vasgeketting word.

Die mees noemenswaardige nie-sekuriteitsveranderinge:

  • Nuwe module bygevoeg mod_systemd, wat integrasie met die systemd-stelselbestuurder bied. Die module laat jou toe om httpd te gebruik in dienste met die “Type=kennisgewing” tipe.
  • Ondersteuning vir kruissamestelling is by apxs gevoeg.
  • Die vermoëns van die mod_md-module, ontwikkel deur die Let's Encrypt-projek om die ontvangs en instandhouding van sertifikate te outomatiseer deur die ACME (Automatic Certificate Management Environment) protokol te gebruik, is uitgebrei:
    • Het die MDContactEmail-aanwysing bygevoeg, waardeur u 'n kontak-e-posadres kan spesifiseer wat nie met die data van die ServerAdmin-aanwysing oorvleuel nie.
    • Vir alle virtuele gashere word ondersteuning vir die protokol wat gebruik word wanneer 'n veilige kommunikasiekanaal onderhandel word (“tls-alpn-01”) geverifieer.
    • Laat toe dat mod_md-aanwysings in blokke gebruik word En .
    • Verseker dat vorige instellings oorskryf word wanneer MDCAC-uitdagings hergebruik word.
    • Bygevoeg die vermoë om die url vir CTLog Monitor te konfigureer.
    • Vir opdragte gedefinieer in die MDMessageCmd-aanwysing, word 'n oproep met die "geïnstalleerde" argument verskaf wanneer 'n nuwe sertifikaat geaktiveer word nadat 'n bediener herbegin het (dit kan byvoorbeeld gebruik word om 'n nuwe sertifikaat vir ander toepassings te kopieer of om te skakel).
  • mod_proxy_hcheck het ondersteuning bygevoeg vir die %{Content-Type}-masker in tjek-uitdrukkings.
  • CookieSameSite, CookieHTTPOnly en CookieSecure-modusse is by mod_usertrack gevoeg om usertrack-koekieverwerking op te stel.
  • mod_proxy_ajp implementeer 'n "geheime" opsie vir proxy-hanteerders om die verouderde AJP13-verifikasieprotokol te ondersteun.
  • Bygevoeg konfigurasiestel vir OpenWRT.
  • Bygevoeg ondersteuning by mod_ssl vir die gebruik van private sleutels en sertifikate van OpenSSL ENGINE deur die PKCS#11 URI in SSLCertificateFile/KeyFile te spesifiseer.
  • Implementeer toetsing met behulp van die deurlopende integrasiestelsel Travis CI.
  • Ontleding van oordrag-enkodering-opskrifte is verskerp.
  • mod_ssl bied TLS-protokolonderhandeling met betrekking tot virtuele gashere (ondersteun wanneer dit gebou is met OpenSSL-1.1.1+.
  • Deur hashing vir opdragtabelle te gebruik, word herbeginsels in "grasieuse" modus versnel (sonder om lopende navraagverwerkers te onderbreek).
  • Bygevoeg leesalleen-tabelle r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table en r:subprocess_env_table by mod_lua. Laat toe dat tabelle die waarde "nul" toegeken word.
  • In mod_authn_socache is die limiet op die grootte van 'n kaslyn van 100 tot 256 verhoog.

Bron: opennet.ru

Voeg 'n opmerking