wydanie serwera Apache HTTP 2.4.43 (pominięto wydanie 2.4.42), które wprowadziło i wyeliminowane :
- CVE-2020-1927: luka w mod_rewrite, która umożliwia wykorzystanie serwera do przekazywania żądań do innych zasobów (otwarte przekierowanie). Niektóre ustawienia mod_rewrite mogą powodować przekierowanie użytkownika do innego linku, zakodowanego przy użyciu znaku nowej linii w parametrze używanym w istniejącym przekierowaniu.
- CVE-2020-1934: luka w zabezpieczeniach mod_proxy_ftp. Używanie niezainicjowanych wartości może prowadzić do wycieków pamięci podczas przesyłania żądań proxy do kontrolowanego przez osobę atakującą serwera FTP.
- Wyciek pamięci w mod_ssl występujący podczas łączenia żądań OCSP.
Najbardziej zauważalne zmiany niezwiązane z bezpieczeństwem:
- Dodano nowy moduł , który zapewnia integrację z menedżerem systemu systemowego. Moduł umożliwia wykorzystanie httpd w usługach typu „Type=notify”.
- Do apxs dodano obsługę kompilacji krzyżowej.
- Rozszerzono możliwości modułu mod_md, opracowanego w ramach projektu Let's Encrypt w celu automatyzacji odbioru i obsługi certyfikatów z wykorzystaniem protokołu ACME (Automatic Certyfikat Management Environment):
- Dodano dyrektywę MDContactEmail, dzięki której można określić kontaktowy adres e-mail, który nie pokrywa się z danymi z dyrektywy ServerAdmin.
- Dla wszystkich wirtualnych hostów sprawdzana jest obsługa protokołu używanego podczas negocjacji bezpiecznego kanału komunikacji („tls-alpn-01”).
- Zezwalaj na używanie dyrektyw mod_md w blokach I .
- Zapewnia zastąpienie poprzednich ustawień przy ponownym użyciu MDCAChallenges.
- Dodano możliwość skonfigurowania adresu URL dla monitora CTLog.
- W przypadku poleceń zdefiniowanych w dyrektywie MDMessageCmd, przy aktywacji nowego certyfikatu po restarcie serwera następuje wywołanie z argumentem „zainstalowany” (można go na przykład wykorzystać do skopiowania lub konwersji nowego certyfikatu dla innych aplikacji).
- mod_proxy_hcheck dodał obsługę maski %{Content-Type} w wyrażeniach kontrolnych.
- Do mod_usertrack dodano tryby CookieSameSite, CookieHTTPOnly i CookieSecure w celu skonfigurowania przetwarzania plików cookie śledzenia użytkownika.
- mod_proxy_ajp implementuje „tajną” opcję dla procedur obsługi proxy w celu obsługi starszego protokołu uwierzytelniania AJP13.
- Dodano zestaw konfiguracyjny dla OpenWRT.
- Dodano obsługę mod_ssl w zakresie używania kluczy prywatnych i certyfikatów z OpenSSL ENGINE poprzez określenie identyfikatora URI PKCS#11 w pliku SSLCertificateFile/KeyFile.
- Wdrożone testy z wykorzystaniem systemu ciągłej integracji Travis CI.
- Udoskonalono analizę nagłówków Transfer-Encoding.
- mod_ssl zapewnia negocjację protokołu TLS w odniesieniu do hostów wirtualnych (obsługiwane w przypadku kompilacji z OpenSSL-1.1.1+.
- Użycie funkcji mieszania dla tabel poleceń przyspiesza ponowne uruchamianie w trybie „płynnym” (bez zakłócania działania procesorów zapytań).
- Dodano tabele tylko do odczytu r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table i r:subprocess_env_table do mod_lua. Zezwalaj na przypisywanie tabelom wartości „nil”.
- W mod_authn_socache limit rozmiaru linii buforowanej został zwiększony ze 100 do 256.
Źródło: opennet.ru