release van de Apache HTTP-server 2.4.43 (release 2.4.42 werd overgeslagen), die introduceerde en geëlimineerd :
- CVE-2020-1927: een kwetsbaarheid in mod_rewrite waardoor de server kan worden gebruikt om verzoeken door te sturen naar andere bronnen (open redirect). Sommige mod_rewrite-instellingen kunnen ertoe leiden dat de gebruiker wordt doorgestuurd naar een andere link, gecodeerd met een newline-teken binnen een parameter die in een bestaande omleiding wordt gebruikt.
- CVE-2020-1934: kwetsbaarheid in mod_proxy_ftp. Het gebruik van niet-geïnitialiseerde waarden kan leiden tot geheugenlekken bij het proxyen van verzoeken naar een door de aanvaller bestuurde FTP-server.
- Geheugenlek in mod_ssl dat optreedt bij het aan elkaar koppelen van OCSP-verzoeken.
De meest opvallende niet-beveiligingswijzigingen zijn:
- Nieuwe module toegevoegd , dat integratie biedt met de systemd-systeembeheerder. Met de module kunt u httpd gebruiken in services met het type “Type=notify”.
- Ondersteuning voor kruiscompilatie is toegevoegd aan apxs.
- De mogelijkheden van de mod_md-module, ontwikkeld door het Let's Encrypt-project om de ontvangst en het onderhoud van certificaten te automatiseren met behulp van het ACME-protocol (Automatic Certificate Management Environment), zijn uitgebreid:
- De MDContactEmail-richtlijn toegevoegd, waarmee u een e-mailadres voor contact kunt opgeven dat niet overlapt met de gegevens uit de ServerAdmin-richtlijn.
- Voor alle virtuele hosts is ondersteuning geverifieerd voor het protocol dat wordt gebruikt bij het onderhandelen over een beveiligd communicatiekanaal (“tls-alpn-01”).
- Sta toe dat mod_md-richtlijnen in blokken worden gebruikt En .
- Zorgt ervoor dat eerdere instellingen worden overschreven bij hergebruik van MDCAChallenges.
- De mogelijkheid toegevoegd om de URL voor CTLog Monitor te configureren.
- Voor opdrachten die zijn gedefinieerd in de MDMessageCmd-richtlijn wordt een aanroep met het argument “geïnstalleerd” gegeven bij het activeren van een nieuw certificaat na het opnieuw opstarten van de server (het kan bijvoorbeeld worden gebruikt om een nieuw certificaat voor andere toepassingen te kopiëren of te converteren).
- mod_proxy_hcheck heeft ondersteuning toegevoegd voor het %{Content-Type}-masker in controle-expressies.
- De modi CookieSameSite, CookieHTTPOnly en CookieSecure zijn toegevoegd aan mod_usertrack om de verwerking van usertrack-cookies te configureren.
- mod_proxy_ajp implementeert een "geheime" optie voor proxy-handlers om het oudere AJP13-authenticatieprotocol te ondersteunen.
- Configuratieset voor OpenWRT toegevoegd.
- Ondersteuning toegevoegd aan mod_ssl voor het gebruik van privésleutels en certificaten van OpenSSL ENGINE door de PKCS#11 URI op te geven in SSLCertificateFile/KeyFile.
- Testen geïmplementeerd met behulp van het continue integratiesysteem Travis CI.
- Het parseren van Transfer-Encoding-headers is aangescherpt.
- mod_ssl biedt TLS-protocolonderhandeling met betrekking tot virtuele hosts (ondersteund indien gebouwd met OpenSSL-1.1.1+.
- Door hashing voor opdrachttabellen te gebruiken, worden herstarts in de “sierlijke” modus versneld (zonder actieve queryprocessors te onderbreken).
- Alleen-lezen tabellen r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table en r:subprocess_env_table toegevoegd aan mod_lua. Sta toe dat tabellen de waarde 'nul' krijgen.
- In mod_authn_socache is de limiet voor de grootte van een in de cache opgeslagen regel verhoogd van 100 naar 256.
Bron: opennet.ru