ProHoster > Blog > nouvèl sou entènèt > Apache http sèvè lage 2.4.43

Apache http sèvè lage 2.4.43

pibliye lage nan sèvè Apache HTTP 2.4.43 (lage 2.4.42 te sote), ki te prezante 34 chanjman epi elimine 3 vilnerabilite:

  • CVE-2020-1927: yon vilnerabilite nan mod_rewrite ki pèmèt sèvè a dwe itilize pou voye demann bay lòt resous (redireksyon louvri). Gen kèk paramèt mod_rewrite ki ka lakòz itilizatè a voye yon lòt lyen, kode lè l sèvi avèk yon karaktè newline nan yon paramèt yo itilize nan yon redireksyon ki deja egziste.
  • CVE-2020-1934: vilnerabilite nan mod_proxy_ftp. Sèvi ak valè ki pa inisyalize ka mennen nan fwit memwa lè proxy demann nan yon sèvè FTP atakè kontwole.
  • Fuit memwa nan mod_ssl ki rive lè yo chènn demann OCSP.

Chanjman ki pi remakab ki pa sekirite yo se:

  • Nouvo modil te ajoute mod_systemd, ki bay entegrasyon ak manadjè sistèm systemd la. Modil la pèmèt ou itilize httpd nan sèvis ki gen kalite "Type=notify".
  • Yo te ajoute sipò kwa-konpilasyon nan apxs.
  • Kapasite mod_md mod_md la, devlope pa pwojè Let's Encrypt pou otomatize resi ak antretyen sètifika lè l sèvi avèk pwotokòl ACME (Anviwònman Jesyon Sètifika Otomatik), yo te elaji:
    • Te ajoute direktiv MDContactEmail, atravè ki ou ka presize yon imèl kontak ki pa sipèpoze ak done ki soti nan direktiv ServerAdmin.
    • Pou tout lame vityèl yo, yo verifye sipò pou pwotokòl yo itilize lè y ap negosye yon kanal kominikasyon an sekirite ("tls-alpn-01").
    • Pèmèt mod_md direktiv yo dwe itilize nan blòk Epi .
    • Asire ke paramèt sot pase yo ranplase lè w ap reitilize MDCAChallenges.
    • Te ajoute kapasite nan konfigirasyon url la pou CTLog Monitor.
    • Pou kòmandman yo defini nan direktiv MDMessageCmd, yo bay yon apèl ak agiman "enstale" lè yo aktive yon nouvo sètifika apre yon rekòmanse sèvè (pa egzanp, li ka itilize pou kopye oswa konvèti yon nouvo sètifika pou lòt aplikasyon).
  • mod_proxy_hcheck te ajoute sipò pou mask %{Content-Type} nan ekspresyon chèk yo.
  • Mòd CookieSameSite, CookieHTTPOnly ak CookieSecure te ajoute nan mod_usertrack pou konfigirasyon pwosesis bonbon usertrack.
  • mod_proxy_ajp aplike yon opsyon "sekrè" pou moun k ap okipe prokurasyon pou sipòte pwotokòl otantifikasyon AJP13 eritaj la.
  • Te ajoute yon seri konfigirasyon pou OpenWRT.
  • Te ajoute sipò nan mod_ssl pou itilize kle prive ak sètifika nan OpenSSL ENGINE lè w espesifye PKCS#11 URI a nan SSLCertificateFile/KeyFile.
  • Aplike tès lè l sèvi avèk sistèm entegrasyon kontinyèl Travis CI.
  • Analize nan Tèt transfè-kodaj yo te sere boulon.
  • mod_ssl bay negosyasyon pwotokòl TLS an relasyon ak lame vityèl (sipòte lè bati ak OpenSSL-1.1.1+.
  • Lè w itilize hachaj pou tab kòmand, rekòmanse nan mòd "grasyeuz" yo akselere (san yo pa entèwonp processeurs rechèch k ap kouri).
  • Te ajoute tab lekti sèlman r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table ak r:subprocess_env_table pou mod_lua. Pèmèt tab yo dwe bay valè "nil".
  • Nan mod_authn_socache limit la sou gwosè yon liy kach te ogmante soti nan 100 a 256.

Sous: opennet.ru

Add nouvo kòmantè