versión del servidor Apache HTTP 2.4.43 (se omitió la versión 2.4.42), que introdujo y eliminado :
- CVE-2020-1927: una vulnerabilidad en mod_rewrite que permite utilizar el servidor para reenviar solicitudes a otros recursos (redireccionamiento abierto). Algunas configuraciones de mod_rewrite pueden hacer que el usuario sea reenviado a otro enlace, codificado usando un carácter de nueva línea dentro de un parámetro usado en una redirección existente.
- CVE-2020-1934: vulnerabilidad en mod_proxy_ftp. El uso de valores no inicializados puede provocar pérdidas de memoria al enviar solicitudes a un servidor FTP controlado por un atacante.
- Pérdida de memoria en mod_ssl que ocurre al encadenar solicitudes OCSP.
Los cambios no relacionados con la seguridad más notables son:
- Nuevo módulo agregado , que proporciona integración con el administrador del sistema systemd. El módulo le permite utilizar httpd en servicios con el tipo “Type=notify”.
- Se ha agregado soporte de compilación cruzada a apxs.
- Se han ampliado las capacidades del módulo mod_md, desarrollado por el proyecto Let's Encrypt para automatizar la recepción y mantenimiento de certificados utilizando el protocolo ACME (Automatic Certificate Management Environment):
- Se agregó la directiva MDContactEmail, a través de la cual puede especificar un correo electrónico de contacto que no se superponga con los datos de la directiva ServerAdmin.
- Para todos los hosts virtuales, se verifica la compatibilidad con el protocolo utilizado al negociar un canal de comunicación seguro (“tls-alpn-01”).
- Permitir el uso de directivas mod_md en bloques Y .
- Garantiza que las configuraciones anteriores se sobrescriban al reutilizar MDCAChallenges.
- Se agregó la capacidad de configurar la URL para CTLog Monitor.
- Para los comandos definidos en la directiva MDMessageCmd, se proporciona una llamada con el argumento "instalado" al activar un nuevo certificado después de reiniciar el servidor (por ejemplo, se puede usar para copiar o convertir un nuevo certificado para otras aplicaciones).
- mod_proxy_hcheck agregó soporte para la máscara %{Content-Type} en expresiones de verificación.
- Se agregaron los modos CookieSameSite, CookieHTTPOnly y CookieSecure a mod_usertrack para configurar el procesamiento de cookies de seguimiento de usuario.
- mod_proxy_ajp implementa una opción "secreta" para que los controladores de proxy admitan el protocolo de autenticación AJP13 heredado.
- Conjunto de configuración agregado para OpenWRT.
- Se agregó soporte a mod_ssl para usar claves privadas y certificados de OpenSSL ENGINE especificando el URI PKCS#11 en SSLCertificateFile/KeyFile.
- Implementé pruebas utilizando el sistema de integración continua Travis CI.
- Se ha reforzado el análisis de los encabezados de Transfer-Encoding.
- mod_ssl proporciona negociación del protocolo TLS en relación con hosts virtuales (compatible cuando se construye con OpenSSL-1.1.1+).
- Al utilizar hash para tablas de comandos, se aceleran los reinicios en modo "elegante" (sin interrumpir la ejecución de los procesadores de consultas).
- Se agregaron tablas de solo lectura r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table y r:subprocess_env_table a mod_lua. Permitir que a las tablas se les asigne el valor "nulo".
- En mod_authn_socache, el límite de tamaño de una línea almacenada en caché se ha aumentado de 100 a 256.
Fuente: opennet.ru