ProHoster > Блог > interretaj novaĵoj > Liberigo de Apache http-servilo 2.4.43

Liberigo de Apache http-servilo 2.4.43

eldonita eldono de la Apache HTTP-servilo 2.4.43 (eldono 2.4.42 estis preterlasita), kiu enkondukis 34 ŝanĝoj kaj eliminita 3 vundeblecoj:

  • CVE-2020-1927: vundebleco en mod_rewrite kiu permesas la servilon esti uzata por plusendi petojn al aliaj rimedoj (malferma alidirektilo). Kelkaj mod_rewrite-agordoj povas rezultigi la uzanton esti plusendita al alia ligilo, kodita uzante novlinian signon ene de parametro uzata en ekzistanta alidirektilo.
  • CVE-2020-1934: vundebleco en mod_proxy_ftp. Uzado de nekomencigitaj valoroj povas konduki al memorfuĝoj dum prokurado de petoj al FTP-servilo kontrolita de atakanto.
  • Memorfluo en mod_ssl kiu okazas ĉe ĉenado de OCSP-petoj.

La plej rimarkindaj ne-sekurecaj ŝanĝoj:

  • Nova modulo aldonita mod_systemd, kiu disponigas integriĝon kun la systemd sistemmanaĝero. La modulo permesas uzi httpd en servoj kun la tipo "Type=notify".
  • Interkompila subteno estis aldonita al apxs.
  • La kapabloj de la modulo mod_md, disvolvita de la projekto Let's Encrypt por aŭtomatigi la ricevon kaj prizorgadon de atestiloj uzante la protokolon ACME (Automatic Certificate Management Environment), estis pligrandigitaj:
    • Aldonis la direktivon MDContactEmail, per kiu vi povas specifi kontaktan retpoŝton, kiu ne koincidas kun la datumoj de la direktivo ServerAdmin.
    • Por ĉiuj virtualaj gastigantoj, subteno por la protokolo uzata dum intertraktado de sekura komunika kanalo ("tls-alpn-01") estas kontrolita.
    • Permesu mod_md-direktivojn esti uzataj en blokoj Kaj .
    • Certigas, ke pasintaj agordoj estas anstataŭitaj dum reuzo de MDCChallenges.
    • Aldonita la kapablo agordi la url por CTLog Monitoro.
    • Por komandoj difinitaj en la direktivo MDMessageCmd, voko kun la "instalita" argumento estas provizita kiam oni aktivigas novan atestilon post rekomenco de servilo (ekzemple, ĝi povas esti uzata por kopii aŭ konverti novan atestilon por aliaj aplikoj).
  • mod_proxy_hcheck aldonis subtenon por la masko %{Content-Type} en ĉekaj esprimoj.
  • CookieSameSite, CookieHTTPOnly kaj CookieSecure-reĝimoj estis aldonitaj al mod_usertrack por agordi kukettraktadon de usertrack.
  • mod_proxy_ajp efektivigas "sekretan" opcion por prokuriloj por subteni la heredan aŭtentikigprotokolon AJP13.
  • Aldonita agordo por OpenWRT.
  • Aldonita subteno al mod_ssl por uzado de privataj ŝlosiloj kaj atestiloj de OpenSSL ENGINE specifante la PKCS#11 URI en SSLCertificateFile/KeyFile.
  • Efektivigita testado uzante la kontinuan integrigan sistemon Travis CI.
  • Analizado de Transfer-Encoding-kapoj estis streĉita.
  • mod_ssl disponigas TLS-protokolintertraktadon rilate al virtualaj gastigantoj (subtenata kiam konstruita kun OpenSSL-1.1.1+.
  • Uzante hashing por komandtabeloj, rekomencoj en "gracia" reĝimo estas akcelitaj (sen interrompi kurantajn demandprocesorojn).
  • Aldonitaj nurlegeblaj tabeloj r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table kaj r:subprocess_env_table al mod_lua. Permesu al tabeloj esti asignitaj la valoron "nil".
  • En mod_authn_socache la limo de la grandeco de kaŝmemorigita linio estis pliigita de 100 al 256.

fonto: opennet.ru

Aldoni komenton