Пускане на Apache http сървър 2.4.43

публикувани издание на Apache HTTP сървър 2.4.43 (версия 2.4.42 беше пропусната), която въведе 34 промени и елиминиран 3 уязвимости:

• CVE-2020-1927: уязвимост в mod_rewrite, която позволява сървърът да се използва за препращане на заявки към други ресурси (отворено пренасочване). Някои настройки на mod_rewrite може да доведат до пренасочване на потребителя към друга връзка, кодирана с помощта на знак за нов ред в рамките на параметър, използван в съществуващо пренасочване.
• CVE-2020-1934: уязвимост в mod_proxy_ftp. Използването на неинициализирани стойности може да доведе до изтичане на памет при прокси заявки към FTP сървър, контролиран от нападател.
• Изтичане на памет в mod_ssl, което възниква при верижно свързване на OCSP заявки.

Най-забележителните промени, които не са свързани със сигурността:

• Добавен нов модул mod_systemd, който осигурява интеграция със системния мениджър systemd. Модулът ви позволява да използвате httpd в услуги с тип “Type=notify”.
• Поддръжката за кръстосано компилиране е добавена към apxs.
• Възможностите на модула mod_md, разработен от проекта Let's Encrypt за автоматизиране на получаването и поддръжката на сертификати с помощта на протокола ACME (Automatic Certificate Management Environment), са разширени:
  • Добавена е директивата MDContactEmail, чрез която можете да посочите имейл за контакт, който не се припокрива с данните от директивата ServerAdmin.
  • За всички виртуални хостове се проверява поддръжката на протокола, използван при договаряне на защитен комуникационен канал („tls-alpn-01“).
  • Позволете на директивите mod_md да се използват в блокове И .
  • Гарантира, че миналите настройки се презаписват при повторно използване на MDCAChallenges.
  • Добавена е възможност за конфигуриране на url за CTLog Monitor.
  • За команди, дефинирани в директивата MDMessageCmd, се предоставя извикване с аргумента „инсталиран“ при активиране на нов сертификат след рестартиране на сървъра (например може да се използва за копиране или конвертиране на нов сертификат за други приложения).
• mod_proxy_hcheck добави поддръжка за маската %{Content-Type} в изрази за проверка.
• Режимите CookieSameSite, CookieHTTPOnly и CookieSecure са добавени към mod_usertrack за конфигуриране на обработката на бисквитките на usertrack.
• mod_proxy_ajp прилага "тайна" опция за манипулатори на прокси, за да поддържа наследения протокол за удостоверяване AJP13.
• Добавен конфигурационен набор за OpenWRT.
• Добавена е поддръжка към mod_ssl за използване на лични ключове и сертификати от OpenSSL ENGINE чрез указване на PKCS#11 URI в SSLCertificateFile/KeyFile.
• Реализирано тестване с помощта на системата за непрекъсната интеграция Travis CI.
• Разборът на заглавките за кодиране на трансфер е затегнат.
• mod_ssl осигурява договаряне на TLS протокол по отношение на виртуални хостове (поддържа се, когато е изграден с OpenSSL-1.1.1+.
• Чрез използване на хеширане за командни таблици, рестартирането в „изящен“ режим се ускорява (без прекъсване на работещите процесори на заявки).
• Добавени са само за четене таблици r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table и r:subprocess_env_table към mod_lua. Позволява на таблиците да се присвоява стойността "нула".
• В mod_authn_socache ограничението за размера на кеширания ред е увеличено от 100 на 256.

Източник: opennet.ru