שחרור של Apache http שרת 2.4.43

יצא לאור מהדורה של שרת ה-HTTP של Apache 2.4.43 (הגרסה 2.4.42 נדחתה), שהציגה 34 שינויים וחוסלו 3 פגיעויות:

• CVE-2020-1927: פגיעות ב-mod_rewrite המאפשרת להשתמש בשרת להעברת בקשות למשאבים אחרים (הפניה פתוחה). הגדרות mod_rewrite מסוימות עשויות לגרום לכך שהמשתמש יועבר לקישור אחר, המקודד באמצעות תו חדש בתוך פרמטר המשמש בהפניה קיימת.
• CVE-2020-1934: פגיעות ב-mod_proxy_ftp. שימוש בערכים לא מאותחלים יכול להוביל לדליפות זיכרון בעת ​​העברת בקשות לשרת FTP הנשלט על ידי תוקף.
• דליפת זיכרון ב-mod_ssl שמתרחשת בעת שרשור בקשות OCSP.

השינויים הבולטים שאינם ביטחוניים הם:

• נוסף מודול חדש mod_systemd, המספק אינטגרציה עם מנהל המערכת systemd. המודול מאפשר לך להשתמש ב-httpd בשירותים מסוג "Type=notify".
• תמיכה בהידור צולב נוספה ל-apxs.
• היכולות של מודול mod_md, שפותח על ידי פרויקט Let's Encrypt לאוטומטיות של קבלת ותחזוקה של אישורים באמצעות פרוטוקול ACME (Automatic Certificate Management Environment) הורחבו:
  • נוספה ההנחיה MDContactEmail, דרכה ניתן לציין מייל ליצירת קשר שאינו חופף לנתונים מהנחיית ServerAdmin.
  • עבור כל המארחים הווירטואליים, התמיכה בפרוטוקול המשמש בעת ניהול משא ומתן על ערוץ תקשורת מאובטח ("tls-alpn-01") מאומתת.
  • אפשר להשתמש בהנחיות mod_md בבלוקים ו .
  • מבטיח שהגדרות קודמות יוחלפו בעת שימוש חוזר ב-MDCAChallenges.
  • נוספה את היכולת להגדיר את כתובת האתר עבור CTLog Monitor.
  • עבור פקודות המוגדרות בהנחיית MDMessageCmd, קריאה עם הארגומנט "installed" מסופקת בעת הפעלת אישור חדש לאחר הפעלה מחדש של השרת (לדוגמה, ניתן להשתמש בו כדי להעתיק או להמיר אישור חדש עבור יישומים אחרים).
• mod_proxy_hcheck הוסיף תמיכה במסכת %{Content-Type} בביטויי בדיקה.
• מצבי CookieSameSite, CookieHTTOnly ו-CookieSecure נוספו ל-mod_usertrack כדי להגדיר את עיבוד קובצי ה-Usertrack.
• mod_proxy_ajp מיישמת אפשרות "סודית" עבור מטפלי פרוקסי כדי לתמוך בפרוטוקול האימות AJP13 מדור קודם.
• נוספה ערכת תצורה עבור OpenWRT.
• נוספה תמיכה ל-mod_ssl לשימוש במפתחות פרטיים ובאישורים מ-OpenSSL ENGINE על-ידי ציון URI PKCS#11 ב-SSLCertificateFile/KeyFile.
• ביצוע בדיקות באמצעות מערכת האינטגרציה הרציפה Travis CI.
• הניתוח של כותרות קידוד העברה הוחזק.
• mod_ssl מספק משא ומתן על פרוטוקול TLS ביחס למארחים וירטואליים (נתמך כאשר נבנה עם OpenSSL-1.1.1+.
• על ידי שימוש בגיבוב עבור טבלאות פקודות, הפעלה מחדש במצב "חינני" מואצת (מבלי להפריע למעבדי שאילתות הפועלים).
• נוספו טבלאות לקריאה בלבד r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table ו-r:subprocess_env_table ל-mod_lua. אפשר להקצות לטבלאות את הערך "אפס".
• ב-mod_authn_socache ההגבלה על גודל קו שמור הוגדלה מ-100 ל-256.

מקור: OpenNet.ru