pubblicato rilascio del server Apache HTTP 2.4.43 (è stata saltata la versione 2.4.42), che ha introdotto 34 modifiche ed eliminato 3 vulnerabilità:
CVE-2020-1927: una vulnerabilità in mod_rewrite che consente di utilizzare il server per inoltrare richieste ad altre risorse (reindirizzamento aperto). Alcune impostazioni mod_rewrite potrebbero comportare l'inoltro dell'utente a un altro collegamento, codificato utilizzando un carattere di nuova riga all'interno di un parametro utilizzato in un reindirizzamento esistente.
CVE-2020-1934: vulnerabilità in mod_proxy_ftp. L'utilizzo di valori non inizializzati può portare a perdite di memoria durante l'inoltro delle richieste a un server FTP controllato dall'aggressore.
Perdita di memoria in mod_ssl che si verifica quando si concatenano le richieste OCSP.
Le modifiche più importanti non legate alla sicurezza:
Nuovo modulo aggiunto mod_systemd, che fornisce l'integrazione con il gestore di sistema systemd. Il modulo consente di utilizzare httpd nei servizi con il tipo “Type=notify”.
Il supporto per la compilazione incrociata è stato aggiunto ad apxs.
Sono state ampliate le funzionalità del modulo mod_md, sviluppato dal progetto Let's Encrypt per automatizzare la ricezione e il mantenimento dei certificati utilizzando il protocollo ACME (Automatic Certificate Management Environment):
Aggiunta la direttiva MDContactEmail, attraverso la quale è possibile specificare una email di contatto che non si sovrappone ai dati della direttiva ServerAdmin.
Per tutti gli host virtuali viene verificato il supporto del protocollo utilizzato durante la negoziazione di un canale di comunicazione sicuro (“tls-alpn-01”).
Consenti l'utilizzo delle direttive mod_md nei blocchi E .
Garantisce che le impostazioni precedenti vengano sovrascritte quando si riutilizzano MDCAChallenges.
Aggiunta la possibilità di configurare l'URL per CTLog Monitor.
Per i comandi definiti nella direttiva MDMessageCmd, viene fornita una chiamata con argomento "installato" quando si attiva un nuovo certificato dopo il riavvio del server (ad esempio, può essere utilizzata per copiare o convertire un nuovo certificato per altre applicazioni).
mod_proxy_hcheck ha aggiunto il supporto per la maschera %{Content-Type} nelle espressioni di controllo.
Le modalità CookieSameSite, CookieHTTPOnly e CookieSecure sono state aggiunte a mod_usertrack per configurare l'elaborazione dei cookie usertrack.
mod_proxy_ajp implementa un'opzione "segreta" per i gestori proxy per supportare il protocollo di autenticazione AJP13 legacy.
Aggiunto set di configurazione per OpenWRT.
Aggiunto supporto a mod_ssl per l'utilizzo di chiavi private e certificati da OpenSSL ENGINE specificando l'URI PKCS#11 in SSLCertificateFile/KeyFile.
Test implementati utilizzando il sistema di integrazione continua Travis CI.
L'analisi delle intestazioni Transfer-Encoding è stata migliorata.
mod_ssl fornisce la negoziazione del protocollo TLS in relazione agli host virtuali (supportato se creato con OpenSSL-1.1.1+.
Utilizzando l'hashing per le tabelle dei comandi, i riavvii in modalità "graziata" vengono accelerati (senza interrompere l'esecuzione dei processori di query).
Aggiunte tabelle di sola lettura r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table e r:subprocess_env_table a mod_lua. Consenti alle tabelle di assegnare il valore "nil".
In mod_authn_socache il limite alla dimensione di una riga memorizzata nella cache è stato aumentato da 100 a 256.