ProHoster > Blogs > interneta ziņas > Apache http servera 2.4.43 izlaišana

Apache http servera 2.4.43 izlaišana

publicēts Apache HTTP servera 2.4.43 izlaidums (izlaidums 2.4.42 tika izlaists), kas ieviesa 34 izmaiņas un likvidēts 3 ievainojamības:

  • CVE-2020-1927: mod_rewrite ievainojamība, kas ļauj serveri izmantot pieprasījumu pārsūtīšanai uz citiem resursiem (atvērtā novirzīšana). Dažu mod_rewrite iestatījumu rezultātā lietotājs var tikt pārsūtīts uz citu saiti, kas ir kodēta, izmantojot jaunās rindiņas rakstzīmi parametrā, kas tiek izmantots esošajā novirzīšanā.
  • CVE-2020-1934: mod_proxy_ftp ievainojamība. Neinicializētu vērtību izmantošana var izraisīt atmiņas noplūdi, kad starpniekserveri tiek nosūtīti uzbrucēja kontrolētam FTP serverim.
  • Atmiņas noplūde mod_ssl, kas rodas, saistot OCSP pieprasījumus.

Ievērojamākās ar drošību nesaistītās izmaiņas:

  • Pievienots jauns modulis mod_systemd, kas nodrošina integrāciju ar systemd sistēmas pārvaldnieku. Modulis ļauj izmantot httpd pakalpojumos ar tipu “Type=notify”.
  • Apxs ir pievienots savstarpējās kompilācijas atbalsts.
  • Ir paplašinātas mod_md moduļa iespējas, kas izstrādātas projektā Let's Encrypt, lai automatizētu sertifikātu saņemšanu un uzturēšanu, izmantojot ACME (Automatic Certificate Management Environment) protokolu:
    • Pievienota MDContactEmail direktīva, ar kuras palīdzību jūs varat norādīt kontaktpersonas e-pasta adresi, kas nepārklājas ar servera Admin direktīvas datiem.
    • Visiem virtuālajiem resursdatoriem ir pārbaudīts protokola atbalsts, kas tiek izmantots sarunās par drošu sakaru kanālu (“tls-alpn-01”).
    • Atļaut mod_md direktīvas izmantot blokos Un .
    • Nodrošina, lai iepriekšējie iestatījumi tiktu pārrakstīti, atkārtoti izmantojot MDCAC izaicinājumus.
    • Pievienota iespēja konfigurēt CTLog monitora URL.
    • Komandām, kas definētas direktīvā MDMessageCmd, aktivizējot jaunu sertifikātu pēc servera restartēšanas, tiek nodrošināts izsaukums ar argumentu “instalēts” (piemēram, to var izmantot, lai kopētu vai pārveidotu jaunu sertifikātu citām lietojumprogrammām).
  • mod_proxy_hcheck pievienoja atbalstu %{Content-Type} maskai pārbaudes izteiksmēs.
  • Režīmi CookieSameSite, CookieHTTOnly un CookieSecure ir pievienoti mod_usertrack, lai konfigurētu usertrack sīkfailu apstrādi.
  • mod_proxy_ajp ievieš "slepeno" opciju starpniekservera apstrādātājiem, lai atbalstītu mantoto AJP13 autentifikācijas protokolu.
  • Pievienots OpenWRT konfigurācijas komplekts.
  • Pievienots mod_ssl atbalsts privāto atslēgu un sertifikātu izmantošanai no OpenSSL ENGINE, SSLCertificateFile/KeyFile norādot PKCS#11 URI.
  • Ieviesta testēšana, izmantojot nepārtrauktās integrācijas sistēmu Travis CI.
  • Pārsūtīšanas kodēšanas galveņu parsēšana ir stingrāka.
  • mod_ssl nodrošina TLS protokola sarunas saistībā ar virtuālajiem resursdatoriem (tiek atbalstīts, ja tas ir izveidots ar OpenSSL-1.1.1+.
  • Izmantojot jaukšanu komandu tabulām, tiek paātrināta restartēšana “graciozā” režīmā (nepārtraucot vaicājumu procesorus).
  • Mod_lua ir pievienotas tikai lasāmas tabulas r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table un r:subprocess_env_table. Ļauj tabulām piešķirt vērtību "nulle".
  • Programmā mod_authn_socache kešatmiņā saglabātās rindas lieluma ierobežojums ir palielināts no 100 līdz 256.

Avots: opennet.ru

Pievieno komentāru