rilascio del server Apache HTTP 2.4.43 (è stata saltata la versione 2.4.42), che ha introdotto ed eliminato :
- CVE-2020-1927: una vulnerabilità in mod_rewrite che consente di utilizzare il server per inoltrare richieste ad altre risorse (reindirizzamento aperto). Alcune impostazioni mod_rewrite potrebbero comportare l'inoltro dell'utente a un altro collegamento, codificato utilizzando un carattere di nuova riga all'interno di un parametro utilizzato in un reindirizzamento esistente.
- CVE-2020-1934: vulnerabilità in mod_proxy_ftp. L'utilizzo di valori non inizializzati può portare a perdite di memoria durante l'inoltro delle richieste a un server FTP controllato dall'aggressore.
- Perdita di memoria in mod_ssl che si verifica quando si concatenano le richieste OCSP.
Le modifiche più importanti non legate alla sicurezza:
- Nuovo modulo aggiunto , che fornisce l'integrazione con il gestore di sistema systemd. Il modulo consente di utilizzare httpd nei servizi con il tipo “Type=notify”.
- Il supporto per la compilazione incrociata è stato aggiunto ad apxs.
- Sono state ampliate le funzionalità del modulo mod_md, sviluppato dal progetto Let's Encrypt per automatizzare la ricezione e il mantenimento dei certificati utilizzando il protocollo ACME (Automatic Certificate Management Environment):
- Aggiunta la direttiva MDContactEmail, attraverso la quale è possibile specificare una email di contatto che non si sovrappone ai dati della direttiva ServerAdmin.
- Per tutti gli host virtuali viene verificato il supporto del protocollo utilizzato durante la negoziazione di un canale di comunicazione sicuro (“tls-alpn-01”).
- Consenti l'utilizzo delle direttive mod_md nei blocchi E .
- Garantisce che le impostazioni precedenti vengano sovrascritte quando si riutilizzano MDCAChallenges.
- Aggiunta la possibilità di configurare l'URL per CTLog Monitor.
- Per i comandi definiti nella direttiva MDMessageCmd, viene fornita una chiamata con argomento "installato" quando si attiva un nuovo certificato dopo il riavvio del server (ad esempio, può essere utilizzata per copiare o convertire un nuovo certificato per altre applicazioni).
- mod_proxy_hcheck ha aggiunto il supporto per la maschera %{Content-Type} nelle espressioni di controllo.
- Le modalità CookieSameSite, CookieHTTPOnly e CookieSecure sono state aggiunte a mod_usertrack per configurare l'elaborazione dei cookie usertrack.
- mod_proxy_ajp implementa un'opzione "segreta" per i gestori proxy per supportare il protocollo di autenticazione AJP13 legacy.
- Aggiunto set di configurazione per OpenWRT.
- Aggiunto supporto a mod_ssl per l'utilizzo di chiavi private e certificati da OpenSSL ENGINE specificando l'URI PKCS#11 in SSLCertificateFile/KeyFile.
- Test implementati utilizzando il sistema di integrazione continua Travis CI.
- L'analisi delle intestazioni Transfer-Encoding è stata migliorata.
- mod_ssl fornisce la negoziazione del protocollo TLS in relazione agli host virtuali (supportato se creato con OpenSSL-1.1.1+.
- Utilizzando l'hashing per le tabelle dei comandi, i riavvii in modalità "graziata" vengono accelerati (senza interrompere l'esecuzione dei processori di query).
- Aggiunte tabelle di sola lettura r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table e r:subprocess_env_table a mod_lua. Consenti alle tabelle di assegnare il valore "nil".
- In mod_authn_socache il limite alla dimensione di una riga memorizzata nella cache è stato aumentato da 100 a 256.
Fonte: opennet.ru