ProHoster > Blog > internetové správy > Vydanie Apache http servera 2.4.43

Vydanie Apache http servera 2.4.43

publikovaný vydanie Apache HTTP servera 2.4.43 (vydanie 2.4.42 bolo preskočené), ktoré zaviedlo 34 zmien a eliminovaný 3 zraniteľností:

  • CVE-2020-1927: chyba zabezpečenia v mod_rewrite, ktorá umožňuje serveru použiť na preposielanie požiadaviek iným zdrojom (otvorené presmerovanie). Niektoré nastavenia mod_rewrite môžu viesť k tomu, že používateľ bude presmerovaný na iný odkaz, zakódovaný pomocou znaku nového riadku v rámci parametra použitého v existujúcom presmerovaní.
  • CVE-2020-1934: zraniteľnosť v mod_proxy_ftp. Používanie neinicializovaných hodnôt môže viesť k úniku pamäte pri odosielaní požiadaviek na server FTP kontrolovaný útočníkom.
  • Únik pamäte v mod_ssl, ku ktorému dochádza pri reťazení požiadaviek OCSP.

Najvýznamnejšie zmeny nesúvisiace so zabezpečením:

  • Pridaný nový modul mod_systemd, ktorý poskytuje integráciu so správcom systému systemd. Modul vám umožňuje používať httpd v službách typu „Typ=notify“.
  • Do apxs bola pridaná podpora krížovej kompilácie.
  • Možnosti modulu mod_md vyvinutého v rámci projektu Let's Encrypt na automatizáciu príjmu a údržby certifikátov pomocou protokolu ACME (Automatic Certificate Management Environment) boli rozšírené:
    • Pridaná direktíva MDContactEmail, prostredníctvom ktorej môžete zadať kontaktný e-mail, ktorý sa neprekrýva s údajmi z direktívy ServerAdmin.
    • Pre všetkých virtuálnych hostiteľov je overená podpora protokolu používaného pri vyjednávaní zabezpečeného komunikačného kanála („tls-alpn-01“).
    • Povoliť použitie direktív mod_md v blokoch A .
    • Zabezpečuje, že minulé nastavenia budú prepísané pri opätovnom použití MDCAChallenges.
    • Pridaná možnosť konfigurovať adresu URL pre CTLog Monitor.
    • Pre príkazy definované v direktíve MDMessageCmd sa pri aktivácii nového certifikátu po reštarte servera poskytuje volanie s argumentom „installed“ (môže sa napríklad použiť na kopírovanie alebo konverziu nového certifikátu pre iné aplikácie).
  • mod_proxy_hcheck pridal podporu pre masku %{Content-Type} v kontrolných výrazoch.
  • Režimy CookieSameSite, CookieHTTPOnly a CookieSecure boli pridané do mod_usertrack na konfiguráciu spracovania súborov cookie usertrack.
  • mod_proxy_ajp implementuje „tajnú“ možnosť pre obsluhu proxy na podporu staršieho overovacieho protokolu AJP13.
  • Pridaná konfiguračná sada pre OpenWRT.
  • Do mod_ssl bola pridaná podpora pre používanie súkromných kľúčov a certifikátov z OpenSSL ENGINE zadaním PKCS#11 URI v SSLCertificateFile/KeyFile.
  • Implementované testovanie pomocou kontinuálneho integračného systému Travis CI.
  • Analýza hlavičiek Transfer-Encoding bola sprísnená.
  • mod_ssl poskytuje vyjednávanie protokolu TLS vo vzťahu k virtuálnym hostiteľom (podporované pri zostavení s OpenSSL-1.1.1+.
  • Použitím hašovania pre tabuľky príkazov sa zrýchli reštarty v „ladnom“ režime (bez prerušenia spustených procesorov dotazov).
  • Do mod_lua boli pridané tabuľky len na čítanie r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table a r:subprocess_env_table. Povoliť tabuľkám priradiť hodnotu „nula“.
  • V mod_authn_socache sa limit veľkosti riadku vo vyrovnávacej pamäti zvýšil zo 100 na 256.

Zdroj: opennet.ru

Pridať komentár