az Apache HTTP szerver 2.4.43 kiadása (a 2.4.42 kiadás kimaradt), amely bevezette és megszüntették :
- CVE-2020-1927: a mod_rewrite biztonsági rése, amely lehetővé teszi a kiszolgáló használatát kérések továbbítására más erőforrásokhoz (nyílt átirányítás). Egyes mod_rewrite beállítások azt eredményezhetik, hogy a felhasználót egy másik hivatkozásra irányítják át, egy meglévő átirányításban használt paraméteren belüli újsor karakterrel kódolva.
- CVE-2020-1934: A mod_proxy_ftp biztonsági rése. Az inicializálatlan értékek használata memóriaszivárgáshoz vezethet, amikor proxy kéréseket küld egy támadó által vezérelt FTP-kiszolgálóhoz.
- Memóriaszivárgás a mod_ssl-ben, amely az OCSP-kérések láncolásakor jelentkezik.
A legjelentősebb nem biztonsági változások a következők:
- Új modul hozzáadva , amely integrációt biztosít a systemd rendszerkezelővel. A modul lehetővé teszi a httpd használatát a „Type=notify” típusú szolgáltatásokban.
- A keresztfordítás támogatása hozzáadásra került az apxs-hez.
- A Let's Encrypt projekt által kifejlesztett mod_md modul képességei az ACME (Automatic Certificate Management Environment) protokoll segítségével automatizálják a tanúsítványok fogadását és karbantartását:
- Hozzáadtuk az MDContactEmail direktívát, amelyen keresztül megadhat egy kapcsolatfelvételi e-mailt, amely nem fedi át a ServerAdmin direktíva adatait.
- Minden virtuális gazdagép esetében ellenőrizve van a biztonságos kommunikációs csatorna egyeztetése során használt protokoll („tls-alpn-01”) támogatása.
- A mod_md direktívák blokkokban való használatának engedélyezése És .
- Gondoskodik arról, hogy a korábbi beállítások felülíródjanak az MDCAChallenges újrafelhasználásakor.
- Hozzáadtuk a CTLog Monitor URL-jének konfigurálásának lehetőségét.
- Az MDMessageCmd direktívában definiált parancsok esetében a hívás az „installed” argumentummal történik, amikor egy új tanúsítványt aktiválunk a kiszolgáló újraindítása után (például egy új tanúsítvány másolására vagy konvertálására használható más alkalmazások számára).
- A mod_proxy_hcheck hozzáadta a %{Content-Type} maszk támogatását az ellenőrzési kifejezésekben.
- CookieSameSite, CookieHTTOnly és CookieSecure módok hozzáadásra kerültek a mod_usertrack-hez a felhasználói nyomkövetési cookie-feldolgozás konfigurálásához.
- A mod_proxy_ajp egy "titkos" opciót valósít meg a proxykezelők számára, hogy támogassa a régi AJP13 hitelesítési protokollt.
- Hozzáadott konfigurációs készlet az OpenWRT-hez.
- A mod_ssl támogatása az OpenSSL ENGINE privát kulcsainak és tanúsítványainak használatához a PKCS#11 URI megadásával az SSLCertificateFile/KeyFile fájlban.
- Tesztelés a Travis CI folyamatos integrációs rendszerrel.
- A Transfer-Encoding fejlécek elemzése meg lett szigorítva.
- A mod_ssl TLS-protokoll-egyeztetést biztosít a virtuális gazdagépekkel kapcsolatban (az OpenSSL-1.1.1+ rendszerrel épülve támogatott.
- A parancstáblázatok kivonatolása révén a „kecses” módban történő újraindítások felgyorsulnak (a lekérdezőprocesszorok megszakítása nélkül).
- Csak olvasható r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table és r:subprocess_env_table táblák hozzáadva a mod_lua-hoz. Lehetővé teszi a táblákhoz "nulla" érték hozzárendelését.
- A mod_authn_socache fájlban a gyorsítótárazott sor méretének korlátja 100-ról 256-ra nőtt.
Forrás: opennet.ru