ослободување на Apache HTTP серверот 2.4.43 (изданието 2.4.42 беше прескокнато), кој воведе и елиминирани :
- CVE-2020-1927: ранливост во mod_rewrite што дозволува серверот да се користи за препраќање барања до други ресурси (отворен пренасочување). Некои поставки за mod_rewrite може да резултираат со препраќање на корисникот на друга врска, кодирана со помош на знак од нова линија во параметар што се користи во постоечко пренасочување.
- CVE-2020-1934: ранливост во mod_proxy_ftp. Користењето на неиницијализирани вредности може да доведе до протекување на меморијата при прокси барања до FTP-сервер контролиран од напаѓачот.
- Протекување на меморија во mod_ssl што се случува при поврзување на OCSP барања.
Најзабележителни небезбедни промени се:
- Додаден е нов модул , кој обезбедува интеграција со системскиот менаџер на системот. Модулот ви овозможува да користите httpd во услугите со типот „Виши=извести“.
- Поддршката за вкрстена компилација е додадена на apxs.
- Проширени се можностите на модулот mod_md, развиен од проектот Let’s Encrypt за автоматизирање на примањето и одржувањето на сертификатите со помош на протоколот ACME (Автоматска средина за управување со сертификати):
- Додадена е директивата MDContactEmail, преку која можете да наведете е-пошта за контакт што не се преклопува со податоците од директивата ServerAdmin.
- За сите виртуелни хостови, поддршката за протоколот што се користи при преговарање за безбеден комуникациски канал („tls-alpn-01“) е потврдена.
- Дозволено е користење на директиви mod_md во блоковите и .
- Обезбедува дека минатите поставки се препишани при повторното користење на MDCAChallenges.
- Додадена е можност за конфигурирање на URL-то за CTLog Monitor.
- За командите дефинирани во директивата MDMessageCmd, се обезбедува повик со аргументот „инсталиран“ кога се активира нов сертификат по рестартирање на серверот (на пример, може да се користи за копирање или конвертирање на нов сертификат за други апликации).
- mod_proxy_hcheck додаде поддршка за маската %{Content-Type} во изразите за проверка.
- Режимите „CookieSameSite“, „CookieHTTPOnly“ и „CookieSecure“ се додадени во mod_usertrack за да се конфигурира обработката на колачињата за корисничка патека.
- mod_proxy_ajp имплементира „тајна“ опција за ракувачи со прокси да го поддржуваат наследениот протокол за автентикација AJP13.
- Додадено е сет за конфигурација за OpenWRT.
- Додадена е поддршка за mod_ssl за користење на приватни клучеви и сертификати од OpenSSL ENGINE со наведување на PKCS#11 URI во SSLCertificateFile/KeyFile.
- Спроведено тестирање со користење на системот за континуирана интеграција Travis CI.
- Парсирањето на заглавијата за кодирање за пренос е затегнато.
- mod_ssl обезбедува преговори за TLS протокол во врска со виртуелни хостови (поддржано кога е изграден со OpenSSL-1.1.1+.
- Со користење на хаширање за командните табели, рестартирањето во режимот „грациозно“ се забрзува (без прекинување на процесорите за пребарување).
- Додадени се табели само за читање r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table и r:subprocess_env_table на mod_lua. Дозволете на табелите да им се додели вредноста „нула“.
- Во mod_authn_socache ограничувањето на големината на кешираната линија е зголемено од 100 на 256.
Извор: opennet.ru