ProHoster > blog > newyddion rhyngrwyd > Rhyddhau gweinydd Apache http 2.4.43

Rhyddhau gweinydd Apache http 2.4.43

Cyhoeddwyd rhyddhau gweinydd Apache HTTP 2.4.43 (hepgorwyd rhyddhau 2.4.42), a gyflwynodd 34 o newidiadau a dileu 3 o wendidau:

  • CVE-2020-1927: bregusrwydd yn mod_rewrite sy'n caniatáu i'r gweinydd gael ei ddefnyddio i anfon ceisiadau ymlaen at adnoddau eraill (ailgyfeirio agored). Gall rhai gosodiadau mod_rewrite arwain at y defnyddiwr yn cael ei anfon ymlaen i ddolen arall, wedi'i amgodio gan ddefnyddio nod llinell newydd o fewn paramedr a ddefnyddir mewn ailgyfeiriad sy'n bodoli eisoes.
  • CVE-2020-1934: bregusrwydd yn mod_proxy_ftp. Gall defnyddio gwerthoedd anghyfarwydd arwain at ollyngiadau cof wrth ddirprwyo ceisiadau i weinydd FTP a reolir gan ymosodwr.
  • Gollyngiad cof yn mod_ssl sy'n digwydd wrth gadwyno ceisiadau OCSP.

Y newidiadau mwyaf nodedig nad ydynt yn ymwneud â diogelwch yw:

  • Ychwanegwyd modiwl newydd mod_systemd, sy'n darparu integreiddio â'r rheolwr system systemd. Mae'r modiwl yn caniatáu ichi ddefnyddio httpd mewn gwasanaethau gyda'r math “Type=notify”.
  • Mae cymorth traws-grynhoi wedi'i ychwanegu at apxs.
  • Mae galluoedd y modiwl mod_md, a ddatblygwyd gan y prosiect Let's Encrypt i awtomeiddio derbyn a chynnal tystysgrifau gan ddefnyddio'r protocol ACME (Amgylchedd Rheoli Tystysgrifau Awtomatig), wedi'u hehangu:
    • Ychwanegwyd cyfarwyddeb MDContactEmail, lle gallwch chi nodi e-bost cyswllt nad yw'n gorgyffwrdd â'r data o gyfarwyddeb ServerAdmin.
    • Ar gyfer pob gwesteiwr rhithwir, mae cefnogaeth i'r protocol a ddefnyddir wrth drafod sianel gyfathrebu ddiogel (“tls-alpn-01”) yn cael ei wirio.
    • Caniatáu i gyfarwyddebau mod_md gael eu defnyddio mewn blociau Ac .
    • Yn sicrhau bod gosodiadau'r gorffennol yn cael eu trosysgrifo wrth ailddefnyddio MDCAChallenges.
    • Ychwanegwyd y gallu i ffurfweddu'r url ar gyfer CTLog Monitor.
    • Ar gyfer gorchmynion a ddiffinnir yn y gyfarwyddeb MDMessageCmd, darperir galwad gyda'r ddadl “gosodedig” wrth actifadu tystysgrif newydd ar ôl i weinydd ailgychwyn (er enghraifft, gellir ei defnyddio i gopïo neu drosi tystysgrif newydd ar gyfer cymwysiadau eraill).
  • mod_proxy_hcheck ychwanegodd cefnogaeth ar gyfer y mwgwd %{Content-Type} mewn mynegiadau siec.
  • Mae moddau CookieSameSite, CookieHTTPonly a CookieSecure wedi'u hychwanegu at mod_usertrack i ffurfweddu prosesu cwcis trac defnyddiwr.
  • mod_proxy_ajp yn gweithredu opsiwn "cyfrinachol" ar gyfer trinwyr dirprwy i gefnogi'r protocol dilysu AJP13 etifeddiaeth.
  • Ychwanegwyd set ffurfweddu ar gyfer OpenWRT.
  • Ychwanegwyd cefnogaeth i mod_ssl ar gyfer defnyddio allweddi preifat a thystysgrifau gan OpenSSL ENGINE trwy nodi'r URI PKCS#11 yn SSLCertificateFile/KeyFile.
  • Profi wedi'i roi ar waith gan ddefnyddio'r system integreiddio barhaus Travis CI.
  • Mae dosrannu penawdau Trosglwyddo-Amgodio wedi'i dynhau.
  • Mae mod_ssl yn darparu negodi protocol TLS mewn perthynas â gwesteiwyr rhithwir (a gefnogir pan gaiff ei adeiladu gydag OpenSSL-1.1.1+.
  • Trwy ddefnyddio hashing ar gyfer tablau gorchymyn, mae ailgychwyniadau yn y modd “gosgeiddig” yn cael eu cyflymu (heb dorri ar draws rhedeg proseswyr ymholiad).
  • Ychwanegwyd tablau darllen-yn-unig r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table a r: subprocess_env_table i mod_lua. Caniatáu i dablau gael y gwerth "dim".
  • Yn mod_authn_socache mae'r terfyn ar faint llinell wedi'i storio wedi'i gynyddu o 100 i 256.

Ffynhonnell: opennet.ru

Ychwanegu sylw