Apache HTTP サーバー 2.4.43 のリリース (リリース 2.4.42 はスキップされました)。 そして排除された :
- CVE-2020-1927: mod_rewrite の脆弱性により、サーバーを使用してリクエストを他のリソースに転送できるようになります (オープン リダイレクト)。一部の mod_rewrite 設定では、既存のリダイレクトで使用されるパラメータ内の改行文字を使用してエンコードされ、ユーザーが別のリンクに転送される場合があります。
- CVE-2020-1934: mod_proxy_ftp の脆弱性。初期化されていない値を使用すると、攻撃者が制御する FTP サーバーにリクエストをプロキシするときにメモリ リークが発生する可能性があります。
- OCSP リクエストをチェーンするときに発生する mod_ssl のメモリ リーク。
セキュリティ以外の最も注目すべき変更は次のとおりです。
- 新しいモジュールが追加されました 、systemd システム マネージャーとの統合を提供します。このモジュールを使用すると、「Type=notify」タイプのサービスで httpd を使用できるようになります。
- クロスコンパイルのサポートが apxs に追加されました。
- ACME (自動証明書管理環境) プロトコルを使用して証明書の受信と保守を自動化するために Let's Encrypt プロジェクトによって開発された mod_md モジュールの機能が拡張されました。
- MDContactEmail ディレクティブが追加されました。これにより、ServerAdmin ディレクティブからのデータと重複しない連絡先電子メールを指定できます。
- すべての仮想ホストについて、安全な通信チャネルをネゴシエートするときに使用されるプロトコル (「tls-alpn-01」) のサポートが検証されています。
- mod_md ディレクティブをブロック内で使用できるようにするそして。
- MDCAChallenge を再利用するときに、過去の設定が確実に上書きされるようにします。
- CTLog モニターの URL を構成する機能が追加されました。
- MDMessageCmd ディレクティブで定義されたコマンドの場合、サーバーの再起動後に新しい証明書をアクティブ化するときに、「installed」引数を指定した呼び出しが提供されます (たとえば、他のアプリケーションの新しい証明書をコピーまたは変換するために使用できます)。
- mod_proxy_hcheck は、チェック式での %{Content-Type} マスクのサポートを追加しました。
- usertrack Cookie 処理を構成するために、CookieSameSite、CookieHTTPOnly、および CookieSecure モードが mod_usertrack に追加されました。
- mod_proxy_ajp は、従来の AJP13 認証プロトコルをサポートするプロキシ ハンドラーの「secret」オプションを実装します。
- OpenWRT の構成セットを追加しました。
- SSLCertificateFile/KeyFile で PKCS#11 URI を指定することで、OpenSSL ENGINE からの秘密キーと証明書を使用するためのサポートが mod_ssl に追加されました。
- 継続的インテグレーションシステムTravis CIを使用したテストを実施。
- Transfer-Encoding ヘッダーの解析が強化されました。
- mod_ssl は、仮想ホストに関連する TLS プロトコル ネゴシエーションを提供します (OpenSSL-1.1.1+ で構築された場合にサポートされます)。
- コマンド テーブルにハッシュを使用することにより、「グレースフル」モードでの再起動が高速化されます (実行中のクエリ プロセッサを中断することなく)。
- 読み取り専用テーブル r:headers_in_table、r:headers_out_table、r:err_headers_out_table、r:notes_table、および r:subprocess_env_table を mod_lua に追加しました。テーブルに値「nil」を割り当てられるようにします。
- mod_authn_socache では、キャッシュされたラインのサイズ制限が 100 から 256 に増加されました。
出所: オープンネット.ru