рэліз HTTP-сервера Apache 2.4.43 (выпуск 2.4.42 быў прапушчаны), у якім прадстаўлена і ўхілена :
- CVE-2020-1927: уявимость у mod_rewrite, якая дазваляе выкарыстоўваць сервер для пракіду зваротаў на іншыя рэсурсы (open redirect). Некаторыя налады mod_rewrite могуць прывесці да пракіду карыстальніка на іншую спасылку, закадаваную з выкарыстаннем сімвала перакладу радка ўнутры параметра, які выкарыстоўваецца ў існуючым рэдырэкце.
- CVE-2020-1934: уразлівасць у mod_proxy_ftp. Выкарыстанне неініцыялізаваных значэнняў можа прывесці да ўцечкі змесціва памяці пры праксіраванні запытаў да FTP-сервера, падкантрольнага зламысніку.
- Уцечка памяці ў mod_ssl, якая ўзнікае пры змацаванні запытаў OCSP.
Найбольш прыкметныя змены, не звязаныя з бяспекай:
- Дададзены новы модуль , Які забяспечвае інтэграцыю з сістэмным мэнэджэрам systemd. Модуль дазваляе выкарыстоўваць httpd у сэрвісах з тыпам "Type=notify".
- У apxs дададзеная падтрымка крос-кампіляцыі.
- Пашыраны магчымасці модуля mod_md, распрацаванага праектам Let's Encrypt для аўтаматызацыі атрымання і абслугоўвання сертыфікатаў з выкарыстаннем пратакола ACME (Automatic Certificate Management Environment):
- Дададзена дырэктыва MDContactEmail , праз якую можна пазначыць кантактны email, які не перасякаецца з дадзенымі з дырэктывы ServerAdmin.
- Для ўсіх віртуальных хастоў забяспечана праверка падтрымкі пратакола, які выкарыстоўваецца пры ўзгадненні абароненага канала сувязі («tls-alpn-01»).
- Дазволена выкарыстанне дырэктыў mod_md у блоках і .
- Забяспечана замена мінулых налад пры паўторным выкарыстанні MDCAChallenges.
- Дададзена магчымасць налады url для CTLog Monitor.
- Для вызначаных у дырэктыве MDMessageCmd каманд забяспечаны выклік з аргументам "installed" пры актывацыі новага сертыфіката пасля перазапуску сервера (напрыклад, можна выкарыстоўваць для капіявання або пераўтварэнні новага сертыфіката для іншых прыкладанняў).
- mod_proxy_hcheck дададзена падтрымка маскі %{Content-Type} у праверачных выразах.
- У mod_usertrack дададзены рэжымы CookieSameSite, CookieHTTPOnly і CookieSecure для налады апрацоўкі Cookie usertrack.
- У mod_proxy_ajp для проксі-апрацоўшчыкаў рэалізаваны параметр "secret" для падтрымкі састарэлага пратакола аўтэнтыфікацыі AJP13.
- Дададзены набор канфігурацыі для OpenWRT.
- У mod_ssl дададзеная падтрымка выкарыстання зачыненых ключоў і сертыфікатаў з OpenSSL ENGINE праз указанне URI PKCS#11 у SSLCertificateFile/KeyFile.
- Рэалізавана тэсціраванне з выкарыстаннем сістэмы бесперапыннай інтэграцыі Travis CI.
- Узмоцнены разбор загалоўкаў Transfer-Encoding.
- У mod_ssl забяспечана ўзгадненне пратаколу TLS у прывязцы да віртуальных хастаў (падтрымліваецца пры зборцы з OpenSSL-1.1.1+.
- За кошт ужывання хэшавання для табліц каманд паскораны перазапуск у рэжыме «graceful» (без абрыву выкананых апрацоўшчыкаў запытаў).
- У mod_lua дададзеныя табліцы r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table і r:subprocess_env_table, даступныя ў рэжыме толькі для чытання. Дазволена прызначэнне табліц значэння «nil».
- У mod_authn_socache са 100 да 256 павялічаны ліміт на памер кэшаванага радка.
Крыніца: opennet.ru