ProHoster > Blog > internetové zprávy > Vydání Apache http serveru 2.4.43

Vydání Apache http serveru 2.4.43

zveřejněno vydání Apache HTTP serveru 2.4.43 (vydání 2.4.42 bylo přeskočeno), které představilo 34 změn a vyloučeno 3 zranitelností:

  • CVE-2020-1927: chyba zabezpečení v mod_rewrite, která umožňuje použití serveru k předávání požadavků na jiné zdroje (otevřené přesměrování). Některá nastavení mod_rewrite mohou vést k přesměrování uživatele na jiný odkaz zakódovaný pomocí znaku nového řádku v parametru použitém v existujícím přesměrování.
  • CVE-2020-1934: zranitelnost v mod_proxy_ftp. Použití neinicializovaných hodnot může vést k únikům paměti při odesílání požadavků na server FTP ovládaný útočníkem.
  • Únik paměti v mod_ssl, ke kterému dochází při řetězení požadavků OCSP.

Nejpozoruhodnější změny netýkající se zabezpečení jsou:

  • Přidán nový modul mod_systemd, který poskytuje integraci se správcem systému systemd. Modul umožňuje používat httpd ve službách typu „Typ=notify“.
  • Do apxs byla přidána podpora křížové kompilace.
  • Možnosti modulu mod_md, vyvinutého projektem Let's Encrypt pro automatizaci příjmu a údržby certifikátů pomocí protokolu ACME (Automatic Certificate Management Environment), byly rozšířeny:
    • Přidána direktiva MDContactEmail, pomocí které můžete zadat kontaktní e-mail, který se nepřekrývá s daty z direktivy ServerAdmin.
    • U všech virtuálních hostitelů je ověřena podpora protokolu používaného při vyjednávání zabezpečeného komunikačního kanálu („tls-alpn-01“).
    • Povolit použití direktiv mod_md v blocích A .
    • Zajišťuje, že při opětovném použití MDCAChallenges budou přepsána minulá nastavení.
    • Přidána možnost konfigurovat adresu URL pro CTLog Monitor.
    • U příkazů definovaných v direktivě MDMessageCmd je při aktivaci nového certifikátu po restartu serveru poskytnuto volání s argumentem „installed“ (může být například použit ke zkopírování nebo převedení nového certifikátu pro jiné aplikace).
  • mod_proxy_hcheck přidal podporu pro masku %{Content-Type} v kontrolních výrazech.
  • Do mod_usertrack byly přidány režimy CookieSameSite, CookieHTTPOnly a CookieSecure pro konfiguraci zpracování souborů cookie usertrack.
  • mod_proxy_ajp implementuje „tajnou“ možnost pro obsluhu proxy pro podporu staršího ověřovacího protokolu AJP13.
  • Přidána konfigurační sada pro OpenWRT.
  • Do mod_ssl byla přidána podpora pro použití soukromých klíčů a certifikátů z OpenSSL ENGINE zadáním URI PKCS#11 v SSLCertificateFile/KeyFile.
  • Implementováno testování pomocí kontinuálního integračního systému Travis CI.
  • Analýza hlaviček Transfer-Encoding byla zpřísněna.
  • mod_ssl poskytuje vyjednávání protokolu TLS ve vztahu k virtuálním hostitelům (podporováno při sestavování s OpenSSL-1.1.1+.
  • Použitím hashování pro tabulky příkazů se zrychlí restarty v „ladném“ režimu (bez přerušení běžících dotazovacích procesorů).
  • Do mod_lua byly přidány tabulky pouze pro čtení r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table a r:subprocess_env_table. Povolit tabulkám přiřadit hodnotu "nula".
  • V mod_authn_socache byl limit velikosti řádku v mezipaměti zvýšen ze 100 na 256.

Zdroj: opennet.ru

Přidat komentář