version du serveur HTTP Apache 2.4.43 (la version 2.4.42 a été ignorée), qui a introduit et éliminé :
- CVE-2020-1927 : une vulnérabilité dans mod_rewrite qui permet d'utiliser le serveur pour transmettre des requêtes vers d'autres ressources (redirection ouverte). Certains paramètres de mod_rewrite peuvent entraîner le transfert de l'utilisateur vers un autre lien, codé à l'aide d'un caractère de nouvelle ligne dans un paramètre utilisé dans une redirection existante.
- CVE-2020-1934 : vulnérabilité dans mod_proxy_ftp. L'utilisation de valeurs non initialisées peut entraîner des fuites de mémoire lors de la transmission de requêtes vers un serveur FTP contrôlé par un attaquant.
- Fuite de mémoire dans mod_ssl qui se produit lors du chaînage des requêtes OCSP.
Les changements non liés à la sécurité les plus notables :
- Nouveau module ajouté , qui assure l'intégration avec le gestionnaire système systemd. Le module permet d'utiliser httpd dans les services de type « Type=notify ».
- La prise en charge de la compilation croisée a été ajoutée à apxs.
- Les capacités du module mod_md, développé par le projet Let's Encrypt pour automatiser la réception et la maintenance des certificats à l'aide du protocole ACME (Automatic Certificate Management Environment), ont été étendues :
- Ajout de la directive MDContactEmail, grâce à laquelle vous pouvez spécifier une adresse e-mail de contact qui ne chevauche pas les données de la directive ServerAdmin.
- Pour tous les hôtes virtuels, la prise en charge du protocole utilisé lors de la négociation d'un canal de communication sécurisé (« tls-alpn-01 ») est vérifiée.
- Autoriser l'utilisation des directives mod_md dans les blocs Et .
- Garantit que les paramètres passés sont écrasés lors de la réutilisation de MDCAChallenges.
- Ajout de la possibilité de configurer l'URL pour CTLog Monitor.
- Pour les commandes définies dans la directive MDMessageCmd, un appel avec l'argument « installé » est fourni lors de l'activation d'un nouveau certificat après un redémarrage du serveur (il peut par exemple être utilisé pour copier ou convertir un nouveau certificat pour d'autres applications).
- mod_proxy_hcheck a ajouté la prise en charge du masque %{Content-Type} dans les expressions de vérification.
- Les modes CookieSameSite, CookieHTTPOnly et CookieSecure ont été ajoutés à mod_usertrack pour configurer le traitement des cookies usertrack.
- mod_proxy_ajp implémente une option "secrète" pour les gestionnaires de proxy afin de prendre en charge l'ancien protocole d'authentification AJP13.
- Ajout d'un jeu de configuration pour OpenWRT.
- Ajout de la prise en charge de mod_ssl pour l'utilisation de clés privées et de certificats d'OpenSSL ENGINE en spécifiant l'URI PKCS#11 dans SSLCertificateFile/KeyFile.
- Implémentation de tests à l'aide du système d'intégration continue Travis CI.
- L’analyse des en-têtes Transfer-Encoding a été renforcée.
- mod_ssl fournit la négociation du protocole TLS en relation avec les hôtes virtuels (pris en charge lors de la construction avec OpenSSL-1.1.1+.
- En utilisant le hachage pour les tables de commandes, les redémarrages en mode « progressif » sont accélérés (sans interrompre les processeurs de requêtes en cours d’exécution).
- Ajout des tables en lecture seule r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table et r:subprocess_env_table à mod_lua. Autoriser l'attribution de la valeur "nil" aux tables.
- Dans mod_authn_socache, la limite de taille d'une ligne mise en cache a été augmentée de 100 à 256.
Source: opennet.ru