ProHoster > Blogi > internetiuudised > Apache http-serveri 2.4.43 väljalase

Apache http-serveri 2.4.43 väljalase

avaldatud Apache HTTP serveri versioon 2.4.43 (väljalase 2.4.42 jäeti vahele), mis tutvustas 34 muudatust ja kõrvaldatud 3 haavatavused:

  • CVE-2020-1927: mod_rewrite haavatavus, mis võimaldab serverit kasutada päringute edastamiseks teistele ressurssidele (avatud ümbersuunamine). Mõned mod_rewrite sätted võivad põhjustada selle, et kasutaja suunatakse edasi teisele lingile, mis on kodeeritud reavahetusmärgi abil olemasoleva ümbersuunamise parameetris.
  • CVE-2020-1934: haavatavus failis mod_proxy_ftp. Initsialiseerimata väärtuste kasutamine võib põhjustada mälulekkeid, kui edastate päringuid ründaja juhitavale FTP-serverile.
  • Mäluleke failis mod_ssl, mis ilmneb OCSP-päringute aheldamisel.

Kõige olulisemad turvalisusega mitteseotud muudatused on järgmised:

  • Lisatud uus moodul mod_systemd, mis pakub integratsiooni systemd süsteemihalduriga. Moodul võimaldab kasutada httpd-d teenustes, mille tüüp on “Type=notify”.
  • Apxs-ile on lisatud ristkompileerimise tugi.
  • Täiustatud on projekti Let's Encrypt poolt välja töötatud mooduli mod_md võimalusi sertifikaatide vastuvõtmise ja hoolduse automatiseerimiseks protokolli ACME (Automatic Certificate Management Environment) abil:
    • Lisatud MDContactEmail direktiiv, mille kaudu saab määrata kontaktmeili, mis ei kattu ServerAdmini direktiivi andmetega.
    • Kõigi virtuaalsete hostide puhul on kinnitatud turvalise sidekanali läbirääkimistel kasutatava protokolli tugi (tls-alpn-01).
    • Lubage mod_md direktiive kasutada plokkides Ja .
    • Tagab, et MDCAC väljakutsete taaskasutamisel kirjutatakse üle varasemad sätted.
    • Lisati võimalus konfigureerida CTLog Monitori URL-i.
    • MDMessageCmd direktiivis määratletud käskude puhul antakse uue sertifikaadi aktiveerimisel pärast serveri taaskäivitamist kõne argumendiga "installitud" (näiteks saab seda kasutada uue sertifikaadi kopeerimiseks või teisendamiseks teiste rakenduste jaoks).
  • mod_proxy_hcheck lisas kontrollavaldistesse maski %{Content-Type} toe.
  • Mod_usertrackile on lisatud režiimid CookieSameSite, CookieHTTOnly ja CookieSecure, et seadistada kasutajaraja küpsiste töötlemine.
  • mod_proxy_ajp rakendab puhverserveri töötlejate jaoks "salajast" suvandit, et toetada pärand AJP13 autentimisprotokolli.
  • Lisatud OpenWRT konfiguratsioonikomplekt.
  • Lisati mod_ssl tugi OpenSSL ENGINE'i privaatvõtmete ja sertifikaatide kasutamiseks, määrates failis SSLCertificateFile/KeyFile PKCS#11 URI.
  • Teostatud testimine pideva integratsioonisüsteemi Travis CI abil.
  • Transfer-Encodingi päiste sõelumine on karmistatud.
  • mod_ssl pakub TLS-protokolli läbirääkimisi seoses virtuaalsete hostidega (toetatud OpenSSL-1.1.1+ puhul.
  • Kasutades käsutabelite räsimist, kiirendatakse taaskäivitamist graatsilises režiimis (päringuprotsessoreid katkestamata).
  • Lisatud kirjutuskaitstud tabelid r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table ja r:subprocess_env_table mod_lua. Lubage tabelitele omistada väärtus "null".
  • Mod_authn_socache'is on vahemällu salvestatud rea suuruse limiiti suurendatud 100-lt 256-le.

Allikas: opennet.ru

Lisa kommentaar