ProHoster > Blog > netfréttir > Gefa út Apache http server 2.4.43

Gefa út Apache http server 2.4.43

birt útgáfu af Apache HTTP þjóninum 2.4.43 (útgáfu 2.4.42 var sleppt), sem kynnti 34 breytingar og útrýmt 3 veikleikar:

  • CVE-2020-1927: varnarleysi í mod_rewrite sem gerir kleift að nota netþjóninn til að framsenda beiðnir til annarra auðlinda (opin tilvísun). Sumar mod_rewrite stillingar geta leitt til þess að notandinn sé áframsendur á annan tengil, kóðaðan með nýlínustaf innan færibreytu sem notuð er í núverandi tilvísun.
  • CVE-2020-1934: varnarleysi í mod_proxy_ftp. Notkun óforgangsgilda getur leitt til minnisleka þegar umboðsbeiðnir eru sendar til FTP-þjóns sem stjórnað er af árásarmanni.
  • Minnisleki í mod_ssl sem á sér stað þegar OCSP beiðnir eru teknar saman.

Merkustu breytingarnar sem ekki tengjast öryggi eru:

  • Ný eining bætt við mod_systemd, sem veitir samþættingu við systemd kerfisstjórann. Einingin gerir þér kleift að nota httpd í þjónustu með gerðinni „Type=notify“.
  • Stuðningur við krosssamsetningu hefur verið bætt við apxs.
  • Geta mod_md einingarinnar, þróuð af Let's Encrypt verkefninu til að gera sjálfvirkan móttöku og viðhald skírteina með því að nota ACME (Automatic Certificate Management Environment) samskiptareglur, hefur verið aukinn:
    • Bætti við MDContactEmail tilskipuninni, þar sem þú getur tilgreint tengiliðanetfang sem skarast ekki við gögnin frá ServerAdmin tilskipuninni.
    • Fyrir alla sýndargestgjafa er stuðningur við samskiptareglur sem notaðar eru þegar samið er um örugga samskiptarás („tls-alpn-01“) staðfest.
    • Leyfa að mod_md tilskipanir séu notaðar í blokkum Og .
    • Tryggir að fyrri stillingum sé skrifað yfir þegar MDCAC áskoranir eru endurnotaðar.
    • Bætti við möguleikanum á að stilla slóðina fyrir CTLog Monitor.
    • Fyrir skipanir sem eru skilgreindar í MDMessageCmd tilskipuninni er símtal með „uppsett“ röksemdin þegar nýtt vottorð er virkjað eftir endurræsingu miðlara (til dæmis er hægt að nota það til að afrita eða umbreyta nýju vottorði fyrir önnur forrit).
  • mod_proxy_hcheck bætti við stuðningi fyrir %{Content-Type} grímuna í tékkatjáningum.
  • CookieSameSite, CookieHTTPOnly og CookieSecure stillingar hafa verið bætt við mod_usertrack til að stilla usertrack vinnslu fótspora.
  • mod_proxy_ajp útfærir „leyndarmál“ valmöguleika fyrir umboðsmenn til að styðja við eldri AJP13 auðkenningarsamskiptareglur.
  • Bætt við stillingarsetti fyrir OpenWRT.
  • Bætti stuðningi við mod_ssl til að nota einkalykla og vottorð frá OpenSSL ENGINE með því að tilgreina PKCS#11 URI í SSLCertificateFile/KeyFile.
  • Innleidd prófanir með því að nota samfellda samþættingarkerfið Travis CI.
  • Dreifing á hausum fyrir flutningskóðun hefur verið hert.
  • mod_ssl veitir samningaviðræður um TLS-samskiptareglur í tengslum við sýndarhýsingar (styður þegar hann er byggður með OpenSSL-1.1.1+.
  • Með því að nota hashing fyrir skipanatöflur er endurræsingum í „þokkafullri“ stillingu flýtt (án þess að trufla hlaupandi fyrirspurnargjörva).
  • Bætti eingöngu skrifborðum r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table og r:subprocess_env_table við mod_lua. Leyfa að töflur fái gildið "nil".
  • Í mod_authn_socache hafa mörkin á stærð línu í skyndiminni verið aukin úr 100 í 256.

Heimild: opennet.ru

Bæta við athugasemd