- CVE-2020-1927፡ በmod_rewrite ላይ አገልጋዩ ጥያቄዎችን ወደ ሌላ ምንጮች ለማስተላለፍ (ክፍት ማዘዋወር) የሚፈቅድ ተጋላጭነት። አንዳንድ የ mod_rewrite ቅንጅቶች ተጠቃሚው አሁን ባለው ማዘዋወር ውስጥ ጥቅም ላይ በሚውል ግቤት ውስጥ በአዲስ መስመር ቁምፊ ወደተመሰጠረ ሌላ አገናኝ እንዲመራ ሊያደርግ ይችላል።
- CVE-2020-1934፡ ተጋላጭነት በ mod_proxy_ftp። ያልታወቁ እሴቶችን መጠቀም በአጥቂ ቁጥጥር ስር ላለው የኤፍቲፒ አገልጋይ ጥያቄዎችን በመወከል ወደ ማህደረ ትውስታ መፍሰስ ሊያመራ ይችላል።
- የOCSP ጥያቄዎችን ሲሰካ በ mod_ssl ውስጥ የማህደረ ትውስታ መፍሰስ።
በጣም ታዋቂዎቹ የደህንነት ያልሆኑ ለውጦች የሚከተሉት ናቸው
- አዲስ ሞጁል ታክሏል።
mod_systemd , ከስርዓተ-ስርዓት አስተዳዳሪ ጋር ውህደትን ያቀርባል. ሞጁሉ httpd በ "Type=notify" አይነት በአገልግሎቶች ውስጥ እንድትጠቀም ይፈቅድልሃል። - የማጣመር ድጋፍ ወደ apxs ተጨምሯል።
- የኤሲኤምኢ (አውቶማቲክ ሰርተፍኬት አስተዳደር አካባቢ) ፕሮቶኮልን በመጠቀም ሰርተፍኬቶችን መቀበል እና ማቆየት እንዲችል በ Let's Encrypt Project የተሰራው የ mod_md ሞጁል አቅም ተራዝሟል፡-
- የMDContactEmail መመሪያ ታክሏል፣በዚህም በኩል ከServerAdmin መመርያ ካለው መረጃ ጋር የማይደራረብ የእውቂያ ኢሜይል መግለጽ ይችላሉ።
- ለሁሉም ምናባዊ አስተናጋጆች ደህንነቱ የተጠበቀ የግንኙነት ቻናል ("tls-alpn-01") ሲደራደሩ ጥቅም ላይ የዋለውን ፕሮቶኮል ለመደገፍ ቼክ ቀርቧል።
- በብሎኮች ውስጥ የ mod_md መመሪያዎችን መጠቀም ተፈቅዷል እና .
- MDCAChallengesን እንደገና ሲጠቀሙ ያለፉትን ቅንብሮች መተካት ቀርቧል።
- ለሲቲሎግ ሞኒተር ዩአርኤልን የማዋቀር ችሎታ ታክሏል።
- በMDMessageCmd መመሪያ ውስጥ የተገለጹት ትእዛዛት አገልጋዩ ዳግም ከጀመረ በኋላ አዲስ ሰርተፍኬት ሲነቃ “የተጫነው” ክርክር ጋር ለመጥራት ዋስትና ተሰጥቷቸዋል።
- mod_proxy_hcheck በቼክ መግለጫዎች ውስጥ ለ%{የይዘት አይነት} ጭንብል ድጋፍ ታክሏል።
- የተጠቃሚ ትራክ ኩኪዎችን እንዴት እንደሚያዝ ለማበጀት CookieSameSite፣ CookieHTTPOnly እና CookieSecure ሁነታዎች ወደ mod_usertrack ታክለዋል።
- mod_proxy_ajp የ AJP13 የማረጋገጫ ፕሮቶኮልን ለመደገፍ የተኪ ተቆጣጣሪዎች "ሚስጥራዊ" መለኪያን ተግባራዊ አድርጓል።
- ለOpenWRT ውቅር ታክሏል።
- በSSLCertificateFile/KeyFile ውስጥ PKCS#11 URI በመጥቀስ ከOpenSSL ENGINE በ mod_ssl ውስጥ የግል ቁልፎችን እና የምስክር ወረቀቶችን ለመጠቀም ተጨማሪ ድጋፍ።
- Travis CI ቀጣይነት ያለው ውህደት ስርዓት በመጠቀም የተተገበረ ሙከራ።
- የዝውውር-ኢኮዲንግ ራስጌዎችን የበለጠ መተንተን።
- mod_ssl ከምናባዊ አስተናጋጆች ጋር በተገናኘ የTLS ፕሮቶኮል ድርድርን ያቀርባል (በOpenSSL-1.1.1+ ሲገነባ የሚደገፍ።
- ለትዕዛዝ ሠንጠረዦች hashing በመጠቀማቸው በ"አስደሳች" ሁነታ (የጥያቄ ተቆጣጣሪዎች ሳይስተጓጎሉ) እንደገና መጀመር ተፋጠነ።
- ተነባቢ-ብቻ ሠንጠረዦች ታክለዋል አር፡ ራስጌዎች_በሠንጠረዡ፣ አር፡ ራስጌ_ውጭ_ጠረጴዛ፣ r፡ስህተት_ራስጌዎች_ውጭ_ጠረጴዛ፣ r፡ማስታወሻ_ጠረጴዛ እና r፡ንዑስ ሂደት_env_table ወደ mod_lua። ዋጋውን "ኒል" ወደ ጠረጴዛዎች ለመመደብ ተፈቅዶለታል.
- በ mod_authn_socache ውስጥ፣ የተሸጎጠ ሕብረቁምፊ መጠን ላይ ያለው ገደብ ከ100 ወደ 256 ጨምሯል።
ምንጭ: opennet.ru