ProHoster > Blog > balita sa internet > Pagpagawas sa Apache http server 2.4.43

Pagpagawas sa Apache http server 2.4.43

gipatik pagpagawas sa Apache HTTP server 2.4.43 (release 2.4.42 gilaktawan), nga gipaila 34 pagbag-o ug giwagtang 3 mga kahuyang:

  • CVE-2020-1927: Usa ka kahuyangan sa mod_rewrite ang nagtugot sa server nga magamit sa pagpasa sa mga hangyo ngadto sa ubang mga kapanguhaan (open redirect). Ang pipila ka mga setting sa mod_rewrite mahimong mosangpot sa pag-redirect sa tiggamit ngadto sa laing link nga gi-encode nga adunay bag-ong linya nga karakter sulod sa usa ka parameter nga gigamit sa usa ka kasamtangan nga redirect.
  • CVE-2020-1934: Usa ka kahuyangan sa mod_proxy_ftp. Ang paggamit sa wala pa ma-initialize nga mga kantidad mahimong mosangpot sa memory leak kung mag-proxy sa mga hangyo ngadto sa usa ka FTP server nga kontrolado sa tig-atake.
  • Ang memory leak sa mod_ssl gipahinabo sa OCSP request chaining.

Ang labing inila nga dili-seguridad nga mga pagbag-o mao ang:

  • Bag-ong module gidugang mod_systemd, nga naghatag og integrasyon sa systemd system manager. Ang module nagtugot sa paggamit sa httpd sa mga serbisyo nga adunay "Type=notify" nga tipo.
  • Gidugang ang suporta sa cross-compilation sa apxs.
  • Ang mod_md module, nga gihimo sa Let's Encrypt project aron awtomatiko ang pagdawat ug pagmentinar sa mga sertipiko gamit ang ACME (Automatic Certificate Management Environment) protocol, gipalapdan na:
    • Ang MDContactEmail directive gidugang na, nga nagtugot kanimo sa pagtino sa usa ka contact email nga dili mosapaw sa datos gikan sa ServerAdmin directive.
    • Ang tanang virtual hosts gisusi alang sa suporta sa protocol nga gigamit sa pagnegosasyon sa usa ka luwas nga channel sa komunikasyon ("tls-alpn-01").
    • Ang mga direktiba sa Mod_md magamit sa mga bloke. Ug .
    • Giseguro nga ang mga naunang setting ilisan kon gamiton pag-usab ang MDCAChallenges.
    • Gidugang ang abilidad sa pag-configure sa URL para sa CTLog Monitor.
    • Ang mga sugo nga gihubit sa direktiba sa MDMessageCmd gitawag na karon gamit ang argumento nga "na-install" kung gi-activate ang usa ka bag-ong sertipiko pagkahuman sa pag-restart sa server (pananglitan, magamit kini sa pagkopya o pag-convert sa usa ka bag-ong sertipiko alang sa ubang mga aplikasyon).
  • Ang mod_proxy_hcheck midugang og suporta para sa %{Content-Type} mask sa mga check expression.
  • Ang CookieSameSite, CookieHTTPOnly, ug CookieSecure modes gidugang sa mod_usertrack aron ipasibo ang pagdumala sa cookie sa usertrack.
  • Ang mod_proxy_ajp nagpatuman og "sekreto" nga parameter para sa mga proxy handler aron suportahan ang legacy nga AJP13 authentication protocol.
  • Gidugang ang set sa pag-configure para sa OpenWRT.
  • Gisuportahan na karon sa mod_ssl ang paggamit sa mga pribadong yawe ug mga sertipiko gikan sa OpenSSL ENGINE pinaagi sa pagtino sa usa ka PKCS#11 URI sa SSLCertificateFile/KeyFile.
  • Ang pagsulay gipatuman gamit ang Travis CI continuous integration system.
  • Gihigpitan na ang pag-parse sa mga header sa Transfer-Encoding.
  • Ang mod_ssl nagahatag ug TLS protocol negotiation kauban sa mga virtual host (gisuportahan kung mag-build gamit ang OpenSSL-1.1.1+).
  • Pinaagi sa paggamit sa hashing para sa mga command table, ang mga pag-restart sa graceful mode (nga dili makabalda sa nagdagan nga mga request handler) mas gipaspasan.
  • Gidugang ang mga read-only nga lamesa nga r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table, ug r:subprocess_env_table sa mod_lua. Gitugotan ang pag-assign sa "nil" sa mga lamesa.
  • Sa mod_authn_socache, ang limitasyon sa gidak-on sa naka-cache nga string gipataas gikan sa 100 ngadto sa 256.

Source: opennet.ru

Pagpalit kasaligan nga pag-host alang sa mga site nga adunay proteksyon sa DDoS, mga server sa VPS VDS 🔥 Pagpalit og kasaligang website hosting nga adunay proteksyon sa DDoS, VPS VDS servers | ProHoster