ProHoster > Blogi > netin uutisia > Apache http -palvelimen julkaisu 2.4.43

Apache http -palvelimen julkaisu 2.4.43

julkaistu Apache HTTP -palvelimen versio 2.4.43 (julkaisu 2.4.42 ohitettiin), joka esitteli 34 muutosta ja eliminoitu 3 haavoittuvuuksia:

  • CVE-2020-1927: mod_rewrite-haavoittuvuus, jonka avulla palvelinta voidaan käyttää pyyntöjen välittämiseen muihin resursseihin (avoin uudelleenohjaus). Jotkut mod_rewrite-asetukset voivat johtaa siihen, että käyttäjä ohjataan edelleen toiseen linkkiin, joka on koodattu rivinvaihtomerkillä parametrissa, jota käytetään olemassa olevassa uudelleenohjauksessa.
  • CVE-2020-1934: mod_proxy_ftp:n haavoittuvuus. Alustamattomien arvojen käyttäminen voi johtaa muistivuotojin, kun välityspalvelinpyyntöjä lähetetään hyökkääjän ohjaamalle FTP-palvelimelle.
  • Muistivuoto mod_ssl:ssä, joka tapahtuu ketjutettaessa OCSP-pyyntöjä.

Merkittävimmät ei-turvallisuuteen liittyvät muutokset:

  • Uusi moduuli lisätty mod_systemd, joka tarjoaa integraation systemd-järjestelmänhallintaan. Moduulin avulla voit käyttää httpd:tä palveluissa, joiden tyyppi on "Type=notify".
  • Ristiinkäännöstuki on lisätty apxs:iin.
  • Let's Encrypt -projektin kehittämän mod_md-moduulin ominaisuuksia on laajennettu varmenteiden vastaanoton ja ylläpidon automatisoimiseksi ACME (Automatic Certificate Management Environment) -protokollalla:
    • Lisätty MDContactEmail-käsky, jonka avulla voit määrittää yhteyssähköpostiosoitteen, joka ei ole päällekkäinen ServerAdmin-direktiivin tietojen kanssa.
    • Kaikkien virtuaalisten isäntien tuki suojatusta viestintäkanavasta neuvoteltaessa käytetylle protokollalle ("tls-alpn-01") on vahvistettu.
    • Salli mod_md-komentojen käyttö lohkoissa Ja .
    • Varmistaa, että aiemmat asetukset korvataan, kun MDCAChaasteita käytetään uudelleen.
    • Lisätty mahdollisuus määrittää URL-osoite CTLog Monitorille.
    • MDMessageCmd-direktiivissä määritellyille komennoille annetaan kutsu "asennettu"-argumentilla, kun uusi varmenne aktivoidaan palvelimen uudelleenkäynnistyksen jälkeen (sitä voidaan käyttää esimerkiksi uuden varmenteen kopioimiseen tai muuntamiseen muita sovelluksia varten).
  • mod_proxy_hcheck lisäsi %{Content-Type}-maskin tuen tarkistuslausekkeisiin.
  • CookieSameSite-, CookieHTTOnly- ja CookieSecure-tilat on lisätty mod_usertrackiin usertrack-evästeiden käsittelyn määrittämiseksi.
  • mod_proxy_ajp toteuttaa "salaisen" vaihtoehdon välityspalvelinkäsittelijöille, jotka tukevat vanhaa AJP13-todennusprotokollaa.
  • Lisätty konfiguraatiosarja OpenWRT:lle.
  • Lisätty tuki mod_ssl:lle OpenSSL ENGINE:n yksityisten avainten ja sertifikaattien käyttämiseen määrittämällä PKCS#11 URI SSLCertificateFile/KeyFile-tiedostossa.
  • Toteutettu testaus jatkuvalla integraatiojärjestelmällä Travis CI.
  • Transfer-Encoding-otsikoiden jäsennys on tiukennettu.
  • mod_ssl tarjoaa TLS-protokollan neuvottelun suhteessa virtuaalisiin isänteihin (tuettu, kun se on rakennettu OpenSSL-1.1.1+:lla.
  • Käytettäessä tiivistystä komentotaulukoissa, uudelleenkäynnistykset "graceful"-tilassa nopeutetaan (keskeytmättä käynnissä olevia kyselyprosessoreita).
  • Lisätty mod_luaan vain luku -taulukot r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table ja r:subprocess_env_table. Salli taulukoille antaa arvo "nolla".
  • Kohdassa mod_authn_socache välimuistissa olevan rivin koon rajaa on lisätty 100:sta 256:een.

Lähde: opennet.ru

Lisää kommentti