Apache http 서버 2.4.43 출시

게시 됨 Apache HTTP 서버 2.4.43 릴리스(릴리스 2.4.42은 건너뛰었습니다) 34개 변경 그리고 제거됨 3개의 취약점:

• CVE-2020-1927: 서버를 사용하여 요청을 다른 리소스로 전달(오픈 리디렉션)할 수 있도록 허용하는 mod_rewrite의 취약점입니다. 일부 mod_rewrite 설정으로 인해 사용자가 기존 리디렉션에 사용된 매개변수 내의 개행 문자를 사용하여 인코딩된 다른 링크로 전달될 수 있습니다.
• CVE-2020-1934: mod_proxy_ftp의 취약점. 초기화되지 않은 값을 사용하면 공격자가 제어하는 ​​FTP 서버에 요청을 프록시할 때 메모리 누수가 발생할 수 있습니다.
• OCSP 요청을 연결할 때 발생하는 mod_ssl의 메모리 누수입니다.

가장 주목할만한 비보안 변경 사항은 다음과 같습니다.

• 새로운 모듈이 추가되었습니다 mod_systemd, systemd 시스템 관리자와의 통합을 제공합니다. 이 모듈을 사용하면 "Type=notify" 유형으로 서비스에서 httpd를 사용할 수 있습니다.
• 크로스 컴파일 지원이 apxs에 추가되었습니다.
• ACME(자동 인증서 관리 환경) 프로토콜을 사용하여 인증서 수신 및 유지 관리를 자동화하기 위해 Let's Encrypt 프로젝트에서 개발한 mod_md 모듈의 기능이 확장되었습니다.
  • ServerAdmin 지시문의 데이터와 겹치지 않는 연락처 이메일을 지정할 수 있는 MDContactEmail 지시문을 추가했습니다.
  • 모든 가상 호스트에 대해 보안 통신 채널("tls-alpn-01")을 협상할 때 사용되는 프로토콜에 대한 지원이 확인됩니다.
  • 블록에서 mod_md 지시문을 사용할 수 있도록 허용 그리고 .
  • MDCAChallenges를 재사용할 때 이전 설정을 덮어쓰는지 확인합니다.
  • CTLog Monitor의 URL을 구성하는 기능이 추가되었습니다.
  • MDMessageCmd 지시문에 정의된 명령의 경우 서버를 다시 시작한 후 새 인증서를 활성화할 때 "installed" 인수가 포함된 호출이 제공됩니다(예를 들어 다른 응용 프로그램에 대한 새 인증서를 복사하거나 변환하는 데 사용할 수 있음).
• mod_proxy_hcheck는 검사 표현식에 %{Content-Type} 마스크에 대한 지원을 추가했습니다.
• usertrack 쿠키 처리를 구성하기 위해 CookieSameSite, CookieHTTPOnly 및 CookieSecure 모드가 mod_usertrack에 추가되었습니다.
• mod_proxy_ajp는 레거시 AJP13 인증 프로토콜을 지원하기 위해 프록시 핸들러에 대한 "비밀" 옵션을 구현합니다.
• OpenWRT에 대한 구성 세트가 추가되었습니다.
• SSLCertificateFile/KeyFile에 PKCS#11 URI를 지정하여 OpenSSL ENGINE의 개인 키와 인증서를 사용하기 위한 mod_ssl에 대한 지원을 추가했습니다.
• 지속적인 통합 시스템 Travis CI를 사용하여 테스트를 구현했습니다.
• Transfer-Encoding 헤더의 구문 분석이 강화되었습니다.
• mod_ssl은 가상 호스트와 관련하여 TLS 프로토콜 협상을 제공합니다(OpenSSL-1.1.1+로 구축된 경우 지원됨).
• 명령 테이블에 해싱을 사용하면 쿼리 프로세서 실행을 중단하지 않고 "graceful" 모드에서 다시 시작하는 속도가 빨라집니다.
• 읽기 전용 테이블 r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table 및 r:subprocess_env_table을 mod_lua에 추가했습니다. 테이블에 "nil" 값이 할당되도록 허용합니다.
• mod_authn_socache에서 캐시된 라인의 크기 제한이 100에서 256으로 증가되었습니다.

출처 : opennet.ru