ProHoster > Blog > ειδήσεις στο διαδίκτυο > Έκδοση του διακομιστή Apache http 2.4.43

Έκδοση του διακομιστή Apache http 2.4.43

Που δημοσιεύθηκε κυκλοφορία του διακομιστή Apache HTTP 2.4.43 (η έκδοση 2.4.42 παραλείφθηκε), ο οποίος εισήγαγε 34 αλλαγές και εξαλείφθηκαν 3 τρωτά σημεία:

  • CVE-2020-1927: μια ευπάθεια στο mod_rewrite που επιτρέπει στον διακομιστή να χρησιμοποιείται για την προώθηση αιτημάτων σε άλλους πόρους (ανοιχτή ανακατεύθυνση). Ορισμένες ρυθμίσεις mod_rewrite ενδέχεται να έχουν ως αποτέλεσμα την προώθηση του χρήστη σε άλλο σύνδεσμο, κωδικοποιημένο με χρήση χαρακτήρα νέας γραμμής εντός μιας παραμέτρου που χρησιμοποιείται σε μια υπάρχουσα ανακατεύθυνση.
  • CVE-2020-1934: ευπάθεια στο mod_proxy_ftp. Η χρήση μη αρχικοποιημένων τιμών μπορεί να οδηγήσει σε διαρροές μνήμης κατά την αποστολή αιτημάτων μεσολάβησης σε έναν διακομιστή FTP που ελέγχεται από τον εισβολέα.
  • Διαρροή μνήμης στο mod_ssl που εμφανίζεται κατά την αλυσίδα των αιτημάτων OCSP.

Οι πιο αξιοσημείωτες αλλαγές που δεν αφορούν την ασφάλεια είναι:

  • Προστέθηκε νέα ενότητα mod_systemd, το οποίο παρέχει ενοποίηση με το systemd system manager. Η ενότητα σάς επιτρέπει να χρησιμοποιείτε το httpd σε υπηρεσίες με τον τύπο "Type=notify".
  • Έχει προστεθεί υποστήριξη πολλαπλής μεταγλώττισης στα apx.
  • Οι δυνατότητες της ενότητας mod_md, που αναπτύχθηκε από το έργο Let’s Encrypt για την αυτοματοποίηση της λήψης και συντήρησης πιστοποιητικών χρησιμοποιώντας το πρωτόκολλο ACME (Automatic Certificate Management Environment), έχουν επεκταθεί:
    • Προστέθηκε η οδηγία MDContactEmail, μέσω της οποίας μπορείτε να καθορίσετε ένα email επικοινωνίας που δεν επικαλύπτεται με τα δεδομένα από την οδηγία ServerAdmin.
    • Για όλους τους εικονικούς κεντρικούς υπολογιστές, επαληθεύεται η υποστήριξη για το πρωτόκολλο που χρησιμοποιείται κατά τη διαπραγμάτευση ενός ασφαλούς καναλιού επικοινωνίας ("tls-alpn-01").
    • Επιτρέπεται η χρήση οδηγιών mod_md σε μπλοκ και .
    • Διασφαλίζει ότι οι προηγούμενες ρυθμίσεις αντικαθίστανται κατά την επαναχρησιμοποίηση του MDCAChallenges.
    • Προστέθηκε η δυνατότητα διαμόρφωσης της διεύθυνσης url για την οθόνη CTLog.
    • Για εντολές που ορίζονται στην οδηγία MDMessageCmd, παρέχεται μια κλήση με το όρισμα "εγκατεστημένο" κατά την ενεργοποίηση ενός νέου πιστοποιητικού μετά από επανεκκίνηση διακομιστή (για παράδειγμα, μπορεί να χρησιμοποιηθεί για την αντιγραφή ή τη μετατροπή ενός νέου πιστοποιητικού για άλλες εφαρμογές).
  • Το mod_proxy_hcheck πρόσθεσε υποστήριξη για τη μάσκα %{Content-Type} σε εκφράσεις ελέγχου.
  • Οι λειτουργίες CookieSameSite, CookieHTTPOnly και CookieSecure έχουν προστεθεί στο mod_usertrack για τη διαμόρφωση της επεξεργασίας cookie usertrack.
  • Το mod_proxy_ajp υλοποιεί μια "μυστική" επιλογή για τους χειριστές μεσολάβησης για την υποστήριξη του παλαιού τύπου πρωτοκόλλου ελέγχου ταυτότητας AJP13.
  • Προστέθηκε σύνολο ρυθμίσεων για το OpenWRT.
  • Προστέθηκε υποστήριξη στο mod_ssl για χρήση ιδιωτικών κλειδιών και πιστοποιητικών από το OpenSSL ENGINE καθορίζοντας το URI PKCS#11 στο SSLCertificateFile/KeyFile.
  • Υλοποιήθηκαν δοκιμές χρησιμοποιώντας το σύστημα συνεχούς ολοκλήρωσης Travis CI.
  • Η ανάλυση των κεφαλίδων Transfer-Encoding έχει γίνει πιο αυστηρή.
  • Το mod_ssl παρέχει διαπραγμάτευση πρωτοκόλλου TLS σε σχέση με εικονικούς κεντρικούς υπολογιστές (υποστηρίζεται όταν έχει κατασκευαστεί με OpenSSL-1.1.1+.
  • Με τη χρήση κατακερματισμού για πίνακες εντολών, οι επανεκκινήσεις σε λειτουργία "χαριτωμένης" επιταχύνονται (χωρίς να διακόπτονται οι επεξεργαστές ερωτημάτων που εκτελούνται).
  • Προστέθηκαν πίνακες μόνο για ανάγνωση r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table και r:subprocess_env_table στο mod_lua. Να επιτρέπεται στους πίνακες να εκχωρείται η τιμή "μηδέν".
  • Στο mod_authn_socache το όριο του μεγέθους μιας γραμμής που έχει αποθηκευτεί στην κρυφή μνήμη έχει αυξηθεί από 100 σε 256.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο