Veröffentlichung des Apache HTTP-Servers 2.4.43 (Version 2.4.42 wurde übersprungen), die eingeführt wurde und beseitigt :
- CVE-2020-1927: eine Schwachstelle in mod_rewrite, die es ermöglicht, den Server zur Weiterleitung von Anfragen an andere Ressourcen zu nutzen (offene Weiterleitung). Einige mod_rewrite-Einstellungen können dazu führen, dass der Benutzer zu einem anderen Link weitergeleitet wird, der mit einem Zeilenumbruchzeichen innerhalb eines Parameters codiert wird, der in einer vorhandenen Umleitung verwendet wird.
- CVE-2020-1934: Sicherheitslücke in mod_proxy_ftp. Die Verwendung nicht initialisierter Werte kann zu Speicherverlusten führen, wenn Anfragen an einen vom Angreifer kontrollierten FTP-Server weitergeleitet werden.
- Speicherverlust in mod_ssl, der beim Verketten von OCSP-Anfragen auftritt.
Die bemerkenswertesten nicht sicherheitsrelevanten Änderungen sind:
- Neues Modul hinzugefügt , das die Integration mit dem systemd-Systemmanager ermöglicht. Das Modul ermöglicht die Verwendung von httpd in Diensten mit dem Typ „Type=notify“.
- Apxs wurde um Cross-Compilation-Unterstützung erweitert.
- Die Fähigkeiten des Moduls mod_md, das vom Let’s Encrypt-Projekt entwickelt wurde, um den Empfang und die Wartung von Zertifikaten mithilfe des ACME-Protokolls (Automatic Certificate Management Environment) zu automatisieren, wurden erweitert:
- Die MDContactEmail-Direktive wurde hinzugefügt, mit der Sie eine Kontakt-E-Mail-Adresse angeben können, die sich nicht mit den Daten aus der ServerAdmin-Direktive überschneidet.
- Für alle virtuellen Hosts wird die Unterstützung des Protokolls überprüft, das bei der Aushandlung eines sicheren Kommunikationskanals („tls-alpn-01“) verwendet wird.
- Die Verwendung von mod_md-Direktiven in - und -Blöcken ist zulässig.
- Stellt sicher, dass frühere Einstellungen bei der Wiederverwendung von MDCAChallenges überschrieben werden.
- Es wurde die Möglichkeit hinzugefügt, die URL für CTLog Monitor zu konfigurieren.
- Für in der MDMessageCmd-Direktive definierte Befehle wird beim Aktivieren eines neuen Zertifikats nach einem Serverneustart ein Aufruf mit dem Argument „installed“ bereitgestellt (z. B. kann damit ein neues Zertifikat für andere Anwendungen kopiert oder konvertiert werden).
- mod_proxy_hcheck hat Unterstützung für die %{Content-Type}-Maske in Prüfausdrücken hinzugefügt.
- Die Modi CookieSameSite, CookieHTTPOnly und CookieSecure wurden zu mod_usertrack hinzugefügt, um die Usertrack-Cookie-Verarbeitung zu konfigurieren.
- mod_proxy_ajp implementiert eine „geheime“ Option für Proxy-Handler, um das alte AJP13-Authentifizierungsprotokoll zu unterstützen.
- Konfigurationssatz für OpenWRT hinzugefügt.
- Unterstützung für mod_ssl für die Verwendung privater Schlüssel und Zertifikate von OpenSSL ENGINE durch Angabe des PKCS#11-URI in SSLCertificateFile/KeyFile hinzugefügt.
- Implementierte Tests mit dem kontinuierlichen Integrationssystem Travis CI.
- Das Parsen von Transfer-Encoding-Headern wurde verschärft.
- mod_ssl ermöglicht die Aushandlung des TLS-Protokolls in Bezug auf virtuelle Hosts (unterstützt bei Erstellung mit OpenSSL-1.1.1+).
- Durch die Verwendung von Hashing für Befehlstabellen werden Neustarts im „graceful“-Modus beschleunigt (ohne laufende Abfrageprozessoren zu unterbrechen).
- Schreibgeschützte Tabellen r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table und r:subprocess_env_table zu mod_lua hinzugefügt. Erlauben Sie Tabellen, den Wert „nil“ zuzuweisen.
- In mod_authn_socache wurde die Begrenzung der Größe einer zwischengespeicherten Zeile von 100 auf 256 erhöht.
Source: opennet.ru