издание на Apache HTTP сървър 2.4.43 (версия 2.4.42 беше пропусната), която въведе и елиминиран :
- CVE-2020-1927: уязвимост в mod_rewrite, която позволява сървърът да се използва за препращане на заявки към други ресурси (отворено пренасочване). Някои настройки на mod_rewrite може да доведат до пренасочване на потребителя към друга връзка, кодирана с помощта на знак за нов ред в рамките на параметър, използван в съществуващо пренасочване.
- CVE-2020-1934: уязвимост в mod_proxy_ftp. Използването на неинициализирани стойности може да доведе до изтичане на памет при прокси заявки към FTP сървър, контролиран от нападател.
- Изтичане на памет в mod_ssl, което възниква при верижно свързване на OCSP заявки.
Най-забележителните промени, които не са свързани със сигурността:
- Добавен нов модул , който осигурява интеграция със системния мениджър systemd. Модулът ви позволява да използвате httpd в услуги с тип “Type=notify”.
- Поддръжката за кръстосано компилиране е добавена към apxs.
- Възможностите на модула mod_md, разработен от проекта Let's Encrypt за автоматизиране на получаването и поддръжката на сертификати с помощта на протокола ACME (Automatic Certificate Management Environment), са разширени:
- Добавена е директивата MDContactEmail, чрез която можете да посочите имейл за контакт, който не се припокрива с данните от директивата ServerAdmin.
- За всички виртуални хостове се проверява поддръжката на протокола, използван при договаряне на защитен комуникационен канал („tls-alpn-01“).
- Позволете на директивите mod_md да се използват в блокове И .
- Гарантира, че миналите настройки се презаписват при повторно използване на MDCAChallenges.
- Добавена е възможност за конфигуриране на url за CTLog Monitor.
- За команди, дефинирани в директивата MDMessageCmd, се предоставя извикване с аргумента „инсталиран“ при активиране на нов сертификат след рестартиране на сървъра (например може да се използва за копиране или конвертиране на нов сертификат за други приложения).
- mod_proxy_hcheck добави поддръжка за маската %{Content-Type} в изрази за проверка.
- Режимите CookieSameSite, CookieHTTPOnly и CookieSecure са добавени към mod_usertrack за конфигуриране на обработката на бисквитките на usertrack.
- mod_proxy_ajp прилага "тайна" опция за манипулатори на прокси, за да поддържа наследения протокол за удостоверяване AJP13.
- Добавен конфигурационен набор за OpenWRT.
- Добавена е поддръжка към mod_ssl за използване на лични ключове и сертификати от OpenSSL ENGINE чрез указване на PKCS#11 URI в SSLCertificateFile/KeyFile.
- Реализирано тестване с помощта на системата за непрекъсната интеграция Travis CI.
- Разборът на заглавките за кодиране на трансфер е затегнат.
- mod_ssl осигурява договаряне на TLS протокол по отношение на виртуални хостове (поддържа се, когато е изграден с OpenSSL-1.1.1+.
- Чрез използване на хеширане за командни таблици, рестартирането в „изящен“ режим се ускорява (без прекъсване на работещите процесори на заявки).
- Добавени са само за четене таблици r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table и r:subprocess_env_table към mod_lua. Позволява на таблиците да се присвоява стойността "нула".
- В mod_authn_socache ограничението за размера на кеширания ред е увеличено от 100 на 256.
Източник: opennet.ru