ProHoster > Blog > internetne novice > Izdaja strežnika Apache http 2.4.43

Izdaja strežnika Apache http 2.4.43

Objavljeno izdaja strežnika HTTP Apache 2.4.43 (izdaja 2.4.42 je bila preskočena), ki je predstavil 34 sprememb in odpravili 3 ranljivosti:

  • CVE-2020-1927: ranljivost v mod_rewrite, ki omogoča uporabo strežnika za posredovanje zahtev drugim virom (odprta preusmeritev). Nekatere nastavitve mod_rewrite lahko povzročijo, da je uporabnik preusmerjen na drugo povezavo, kodirano z uporabo znaka za novo vrstico znotraj parametra, uporabljenega v obstoječi preusmeritvi.
  • CVE-2020-1934: ranljivost v mod_proxy_ftp. Uporaba neinicializiranih vrednosti lahko povzroči uhajanje pomnilnika pri posredovanju zahtev do FTP strežnika, ki ga nadzoruje napadalec.
  • Puščanje pomnilnika v mod_ssl, ki se pojavi pri veriženju zahtev OCSP.

Najbolj opazne spremembe, ki niso povezane z varnostjo:

  • Dodan nov modul mod_systemd, ki omogoča integracijo z upraviteljem sistema systemd. Modul omogoča uporabo httpd v storitvah s tipom “Type=notify”.
  • Podpora za navzkrižno prevajanje je bila dodana v apxs.
  • Razširjene so bile zmogljivosti modula mod_md, ki ga je razvil projekt Let's Encrypt za avtomatizacijo prejemanja in vzdrževanja certifikatov s protokolom ACME (Automatic Certificate Management Environment):
    • Dodana direktiva MDContactEmail, prek katere lahko določite kontaktni email, ki se ne prekriva s podatki iz direktive ServerAdmin.
    • Za vse virtualne gostitelje je preverjena podpora za protokol, ki se uporablja pri pogajanju o varnem komunikacijskem kanalu (»tls-alpn-01«).
    • Dovoli uporabo direktiv mod_md v blokih in .
    • Zagotavlja, da so pretekle nastavitve prepisane pri ponovni uporabi MDCAChallenges.
    • Dodana možnost konfiguracije url za CTLog Monitor.
    • Za ukaze, definirane v direktivi MDMessageCmd, je pri aktiviranju novega potrdila po ponovnem zagonu strežnika na voljo klic z argumentom »nameščeno« (lahko se na primer uporabi za kopiranje ali pretvorbo novega potrdila za druge aplikacije).
  • mod_proxy_hcheck je dodal podporo za masko %{Content-Type} v izrazih za preverjanje.
  • Načini CookieSameSite, CookieHTTPOnly in CookieSecure so bili dodani v mod_usertrack za konfiguracijo obdelave piškotkov usertrack.
  • mod_proxy_ajp implementira "skrivno" možnost za posredniške obdelovalce za podporo podedovanega protokola za preverjanje pristnosti AJP13.
  • Dodana konfiguracija za OpenWRT.
  • Mod_ssl dodana podpora za uporabo zasebnih ključev in potrdil iz OpenSSL ENGINE z navedbo URI PKCS#11 v SSLCertificateFile/KeyFile.
  • Izvedeno testiranje z uporabo kontinuiranega integracijskega sistema Travis CI.
  • Razčlenjevanje glav Transfer-Encoding je bilo poostreno.
  • mod_ssl zagotavlja pogajanja o protokolu TLS v zvezi z navideznimi gostitelji (podprto, če je zgrajeno z OpenSSL-1.1.1+.
  • Z uporabo zgoščevanja za ukazne tabele se pospešijo ponovni zagoni v »prefinjenem« načinu (brez prekinitve izvajanja procesorjev poizvedb).
  • Dodane tabele samo za branje r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table in r:subprocess_env_table v mod_lua. Dovolite, da se tabelam dodeli vrednost "nil".
  • V mod_authn_socache je bila omejitev velikosti predpomnjene vrstice povečana s 100 na 256.

Vir: opennet.ru

Dodaj komentar