ProHoster > Blog > internet nyheder > Apache http-server udgivelse 2.4.43

Apache http-server udgivelse 2.4.43

offentliggjort udgivelse af Apache HTTP-serveren 2.4.43 (udgivelse 2.4.42 blev sprunget over), som introducerede 34 ændringer og elimineret 3 sårbarheder:

  • CVE-2020-1927: en sårbarhed i mod_rewrite, der tillader serveren at blive brugt til at videresende anmodninger til andre ressourcer (åben omdirigering). Nogle mod_rewrite-indstillinger kan resultere i, at brugeren videresendes til et andet link, kodet med et nylinjetegn i en parameter, der bruges i en eksisterende omdirigering.
  • CVE-2020-1934: sårbarhed i mod_proxy_ftp. Brug af ikke-initialiserede værdier kan føre til hukommelseslækager ved proxy-forespørgsler til en angriberstyret FTP-server.
  • Hukommelseslækage i mod_ssl, der opstår ved kæde OCSP-anmodninger.

De mest bemærkelsesværdige ikke-sikkerhedsmæssige ændringer er:

  • Nyt modul tilføjet mod_systemd, som giver integration med systemd system manager. Modulet giver dig mulighed for at bruge httpd i tjenester med typen "Type=notify".
  • Understøttelse af krydskompilering er blevet tilføjet til apxs.
  • Mulighederne for mod_md-modulet, udviklet af Let's Encrypt-projektet til at automatisere modtagelse og vedligeholdelse af certifikater ved hjælp af ACME-protokollen (Automatic Certificate Management Environment), er blevet udvidet:
    • Tilføjet MDContactEmail-direktivet, hvorigennem du kan angive en kontakt-e-mail, der ikke overlapper med dataene fra ServerAdmin-direktivet.
    • For alle virtuelle værter bekræftes understøttelse af den protokol, der bruges ved forhandling af en sikker kommunikationskanal ("tls-alpn-01").
    • Tillad mod_md-direktiver at blive brugt i blokke Og .
    • Sikrer, at tidligere indstillinger overskrives ved genbrug af MDCAChallenges.
    • Tilføjet muligheden for at konfigurere url'en til CTLog Monitor.
    • For kommandoer, der er defineret i MDMessageCmd-direktivet, gives et kald med argumentet "installeret", når et nyt certifikat aktiveres efter en servergenstart (det kan f.eks. bruges til at kopiere eller konvertere et nyt certifikat til andre applikationer).
  • mod_proxy_hcheck tilføjede understøttelse af %{Content-Type}-masken i check-udtryk.
  • CookieSameSite, CookieHTTPOnly og CookieSecure-tilstande er blevet tilføjet til mod_usertrack for at konfigurere usertrack-cookiebehandling.
  • mod_proxy_ajp implementerer en "hemmelig" mulighed for proxy-handlere til at understøtte den ældre AJP13-godkendelsesprotokol.
  • Tilføjet konfigurationssæt til OpenWRT.
  • Tilføjet support til mod_ssl til brug af private nøgler og certifikater fra OpenSSL ENGINE ved at angive PKCS#11 URI i SSLCertificateFile/KeyFile.
  • Implementeret test ved hjælp af det kontinuerlige integrationssystem Travis CI.
  • Parsing af overførselskodningsoverskrifter er blevet strammet.
  • mod_ssl giver TLS-protokolforhandling i forhold til virtuelle værter (understøttet, når den er bygget med OpenSSL-1.1.1+.
  • Ved at bruge hashing til kommandotabeller accelereres genstart i "yndefuld" tilstand (uden at afbryde kørende forespørgselsprocessorer).
  • Tilføjede skrivebeskyttede tabeller r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table og r:subprocess_env_table til mod_lua. Tillad, at tabeller tildeles værdien "nul".
  • I mod_authn_socache er grænsen for størrelsen af ​​en cachelagret linje blevet øget fra 100 til 256.

Kilde: opennet.ru

Tilføj en kommentar