Apache HTTP серверинин 2.4.43 чыгаруусу (2.4.42 релиз өткөрүп жиберилген), ал киргизилген жана жок кылынды :
- CVE-2020-1927: mod_rewrite кемчилиги, серверге суроо-талаптарды башка ресурстарга (ачык багыттоо) багыттоо үчүн колдонууга мүмкүндүк берет. Кээ бир mod_rewrite жөндөөлөрү колдонуучунун башка шилтемеге жөнөтүлүшүнө алып келиши мүмкүн, ал учурдагы багыттоодо колдонулган параметр ичиндеги жаңы сызык белгиси аркылуу коддолгон.
- CVE-2020-1934: mod_proxy_ftp ичиндеги аялуу. Башталбаган маанилерди колдонуу чабуулчу башкарган FTP серверине суроо-талаптарды прокси менен жөнөтүүдө эстутумдун агып кетишине алып келиши мүмкүн.
- OCSP сурамдарын чынжырлашканда пайда болгон mod_ssl ичинде эстутумдун агып кетиши.
Эң көрүнүктүү коопсуздук эмес өзгөрүүлөр:
- Жаңы модуль кошулду , ал системалык башкаруучу менен интеграцияны камсыз кылат. Модуль сизге httpd кызматын "Түр=билдирүү" түрүндөгү кызматтарда колдонууга мүмкүндүк берет.
- Кайчылаш компиляция колдоо apxs кошулду.
- ACME (Automatic Certificate Management Environment) протоколун колдонуу менен сертификаттарды алууну жана тейлөөнү автоматташтыруу үчүн Let's Encrypt долбоору тарабынан иштелип чыккан mod_md модулунун мүмкүнчүлүктөрү кеңейтилген:
- MDContactEmail директивасы кошулду, ал аркылуу сиз ServerAdmin директиванын маалыматтары менен дал келбеген байланыш электрондук почтасын көрсөтө аласыз.
- Бардык виртуалдык хосттор үчүн коопсуз байланыш каналы (tls-alpn-01) боюнча сүйлөшүүлөрдү жүргүзүүдө колдонулган протоколдун колдоосу текшерилген.
- mod_md директивалары блоктордо колдонулушуна уруксат бериңиз Жана .
- MDCAChallenges кайра колдонууда мурунку жөндөөлөрдүн үстүнөн жазылышын камсыздайт.
- CTLog Monitor үчүн url конфигурациялоо мүмкүнчүлүгү кошулду.
- MDMessageCmd директивасында аныкталган буйруктар үчүн, сервер кайра иштетилгенден кийин жаңы сертификатты активдештирүү учурунда “орнотулган” аргументи менен чалуу берилет (мисалы, аны башка колдонмолор үчүн жаңы сертификатты көчүрүү же конвертациялоо үчүн колдонсо болот).
- mod_proxy_hcheck текшерүү туюнтмаларында %{Content-Type} маскасын колдоону кошту.
- CookieSameSite, CookieHTTPOnly жана CookieSecure режимдери колдонуучунун кукилерин иштетүүнү конфигурациялоо үчүн mod_usertrack'ке кошулду.
- mod_proxy_ajp эски AJP13 аутентификация протоколун колдоо үчүн прокси иштетүүчүлөр үчүн "жашыруун" опцияны ишке ашырат.
- OpenWRT үчүн конфигурациялар топтому кошулду.
- SSLCertificateFile/KeyFile ичинде PKCS#11 URI көрсөтүү менен OpenSSL ENGINEден купуя ачкычтарды жана сертификаттарды колдонуу үчүн mod_ssl'ге колдоо кошулду.
- Travis CI үзгүлтүксүз интеграция тутумун колдонуу менен тестирлөө ишке ашырылган.
- Өткөрмө-коддоо аталыштарын талдоо күчөтүлдү.
- mod_ssl виртуалдык хостторго карата TLS протоколунун сүйлөшүүлөрүн камсыз кылат (OpenSSL-1.1.1+ менен курулганда колдоого алынат.
- Буйрук таблицалары үчүн хэширлөөнүн жардамы менен, "көңүлдүү" режимде кайра иштетүү тездетилген (иштеп жаткан суроо процессорлорун үзгүлтүккө учуратпастан).
- Mod_luaга окуу үчүн гана r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table жана r:subprocess_env_table кошулду. Таблицаларга "нөл" маанисин берүүгө уруксат бериңиз.
- mod_authn_socache'де кэштелген линиянын өлчөмүнүн чеги 100дөн 256га чейин көбөйтүлдү.
Source: opennet.ru