ProHoster > Blog > berita internet > Keluaran pelayan http Apache 2.4.43

Keluaran pelayan http Apache 2.4.43

diterbitkan keluaran Apache HTTP Server 2.4.43 (keluaran 2.4.42 telah dilangkau), yang diperkenalkan 34 perubahan dan dihapuskan 3 kelemahan:

  • CVE-2020-1927: Kerentanan dalam mod_rewrite yang membolehkan pelayan digunakan untuk memajukan permintaan kepada sumber lain (lencongan terbuka). Beberapa tetapan mod_rewrite mungkin menyebabkan pengguna diubah hala ke pautan lain yang dikodkan dengan aksara baris baharu di dalam parameter yang digunakan dalam ubah hala sedia ada.
  • CVE-2020-1934: Kerentanan dalam mod_proxy_ftp. Menggunakan nilai yang tidak dimulakan boleh menyebabkan kebocoran memori apabila meminta proksi kepada pelayan FTP yang dikawal oleh penyerang.
  • Kebocoran memori dalam mod_ssl apabila menyemat permintaan OCSP.

Perubahan bukan keselamatan yang paling ketara ialah:

  • Menambah modul baharu mod_systemd, menyediakan integrasi dengan pengurus sistem systemd. Modul ini membenarkan anda menggunakan httpd dalam perkhidmatan dengan jenis "Type=notify".
  • Sokongan untuk kompilasi silang telah ditambahkan pada apx.
  • Keupayaan modul mod_md, yang dibangunkan oleh projek Let's Encrypt untuk mengautomasikan penerimaan dan penyelenggaraan sijil menggunakan protokol ACME (Automatic Certificate Management Environment), telah diperluaskan:
    • Arahan MDContactEmail telah ditambah, yang melaluinya anda boleh menentukan e-mel hubungan yang tidak bertindih dengan data daripada arahan ServerAdmin.
    • Untuk semua hos maya, semakan disediakan untuk menyokong protokol yang digunakan semasa merundingkan saluran komunikasi selamat ("tls-alpn-01").
    • Membenarkan penggunaan arahan mod_md dalam blok Dan .
    • Menyediakan penggantian tetapan lepas apabila menggunakan semula MDCChallenges.
    • Menambah keupayaan untuk mengkonfigurasi url untuk CTLog Monitor.
    • Perintah yang ditakrifkan dalam arahan MDMessageCmd dijamin dipanggil dengan hujah "dipasang" apabila sijil baharu diaktifkan selepas pelayan dimulakan semula (contohnya, ia boleh digunakan untuk menyalin atau menukar sijil baharu untuk aplikasi lain).
  • mod_proxy_hcheck menambah sokongan untuk topeng %{Content-Type} dalam ungkapan semak.
  • Mod CookieSameSite, CookieHTTPOnly dan CookieSecure telah ditambahkan pada mod_usertrack untuk menyesuaikan cara kuki runut pengguna dikendalikan.
  • mod_proxy_ajp melaksanakan parameter "rahsia" untuk pengendali proksi untuk menyokong protokol pengesahan AJP13 warisan.
  • Set konfigurasi tambahan untuk OpenWRT.
  • Menambahkan sokongan untuk menggunakan kunci peribadi dan sijil daripada OpenSSL ENGINE dalam mod_ssl dengan menyatakan PKCS#11 URI dalam SSLCertificateFile/KeyFile.
  • Melaksanakan ujian menggunakan sistem integrasi berterusan Travis CI.
  • Penghuraian lebih sukar bagi pengepala Pemindahan-Pengekodan.
  • mod_ssl menyediakan rundingan protokol TLS berhubung dengan hos maya (disokong apabila membina dengan OpenSSL-1.1.1+.
  • Disebabkan penggunaan pencincangan untuk jadual arahan, memulakan semula dalam mod "anggun" (tanpa gangguan menjalankan pengendali permintaan) dipercepatkan.
  • Menambahkan jadual baca sahaja r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table dan r:subprocess_env_table ke mod_lua. Ia dibenarkan untuk memberikan nilai "nil" kepada jadual.
  • Dalam mod_authn_socache, had saiz rentetan cache telah ditingkatkan daripada 100 kepada 256.

Sumber: opennet.ru

Tambah komen