ProHoster > Blog > ynternet nijs > Utjefte fan Apache http-tsjinner 2.4.43

Utjefte fan Apache http-tsjinner 2.4.43

publisearre release fan de Apache HTTP-tsjinner 2.4.43 (ferzje 2.4.42 waard oerslein), dy't yntrodusearre 34 feroarings en eliminearre 3 kwetsberens:

  • CVE-2020-1927: in kwetsberens yn mod_rewrite wêrtroch de tsjinner kin wurde brûkt om fersiken nei oare boarnen troch te stjoeren (iepen trochferwizing). Guon mod_rewrite ynstellings kinne resultearje yn de brûker wurdt trochstjoerd nei in oare keppeling, kodearre mei in newline karakter binnen in parameter brûkt yn in besteande trochferwizing.
  • CVE-2020-1934: kwetsberens yn mod_proxy_ftp. It brûken fan net-inisjalisearre wearden kin liede ta ûnthâldlekken by it proxyjen fan fersiken nei in oanfaller-kontroleare FTP-tsjinner.
  • Unthâld lek yn mod_ssl dat optreedt by chaining OCSP fersiken.

De meast opfallende net-feiligenswizigingen binne:

  • Nije module tafoege mod_systemd, dy't yntegraasje leveret mei de systemd systeembehearder. De module lit jo httpd brûke yn tsjinsten mei it type "Type=notify".
  • Cross-kompilaasje-stipe is tafoege oan apxs.
  • De mooglikheden fan 'e mod_md-module, ûntwikkele troch it projekt Let's Encrypt om de ûntfangst en ûnderhâld fan sertifikaten te automatisearjen mei it ACME (Automatic Certificate Management Environment) protokol, binne útwreide:
    • De MDContactEmail-rjochtline tafoege, wêrmei jo in kontakt-e-postadres kinne opjaan dy't net oerlaapje mei de gegevens fan 'e ServerAdmin-rjochtline.
    • Foar alle firtuele hosts wurdt stipe foar it protokol brûkt by it ûnderhanneljen fan in feilich kommunikaasjekanaal ("tls-alpn-01") ferifiearre.
    • Tastean mod_md rjochtlinen wurde brûkt yn blokken En .
    • Soarget derfoar dat ferline ynstellings wurde oerskreaun by it opnij brûken fan MDCAC Challenges.
    • De mooglikheid tafoege om de url foar CTLog Monitor te konfigurearjen.
    • Foar kommando's definieare yn 'e MDMessageCmd-rjochtline, wurdt in oprop mei it "ynstallearre" argumint levere by it aktivearjen fan in nij sertifikaat nei in tsjinner opnij starte (bygelyks kin it brûkt wurde om in nij sertifikaat te kopiearjen of te konvertearjen foar oare applikaasjes).
  • mod_proxy_hcheck hat stipe tafoege foar it masker %{Content-Type} yn kontrôle-útdrukkingen.
  • CookieSameSite, CookieHTTPOnly en CookieSecure-modi binne tafoege oan mod_usertrack om it ferwurkjen fan usertrack-koekjes yn te stellen.
  • mod_proxy_ajp ymplemintearret in "geheime" opsje foar proxy-hannelers om it legacy AJP13-autentikaasjeprotokol te stypjen.
  • Added konfiguraasje set foar OpenWRT.
  • Stipe tafoege oan mod_ssl foar it brûken fan privee kaaien en sertifikaten fan OpenSSL ENGINE troch de PKCS#11 URI yn SSLCertificateFile/KeyFile oan te jaan.
  • Implementearre testen mei it trochgeande yntegraasjesysteem Travis CI.
  • It parsearjen fan kopteksten foar oerdrachtkodearring is oanskerpe.
  • mod_ssl jout TLS protokol ûnderhanneling yn relaasje ta firtuele hosts (stipe as boud mei OpenSSL-1.1.1+.
  • Troch it brûken fan hashing foar kommando-tabellen, wurde opnij starte yn "graceful" modus fersneld (sûnder ûnderbrekking fan rinnende query-processors).
  • Added allinne-lês tabellen r: headers_in_table, r: headers_out_table, r: err_headers_out_table, r: notes_table en r: subprocess_env_table oan mod_lua. Tastean tabellen wurde tawiisd de wearde "nul".
  • Yn mod_authn_socache is de limyt op 'e grutte fan in cache line ferhege fan 100 nei 256.

Boarne: opennet.ru

Add a comment