ProHoster > blog > habari za mtandao > Kutolewa kwa seva ya Apache http 2.4.43

Kutolewa kwa seva ya Apache http 2.4.43

iliyochapishwa kutolewa kwa seva ya Apache HTTP 2.4.43 (toleo la 2.4.42 lilirukwa), ambayo ilianzisha 34 mabadiliko na kuondolewa 3 udhaifu:

  • CVE-2020-1927: athari katika mod_rewrite ambayo inaruhusu seva itumike kusambaza maombi kwa nyenzo zingine (fungua uelekezaji upya). Baadhi ya mipangilio ya mod_rewrite inaweza kusababisha mtumiaji kutumwa kwa kiungo kingine, kilichosimbwa kwa kutumia herufi mpya ndani ya kigezo kinachotumika katika uelekezaji upya uliopo.
  • CVE-2020-1934: mazingira magumu katika mod_proxy_ftp. Kutumia thamani ambazo hazijaanzishwa kunaweza kusababisha uvujaji wa kumbukumbu wakati wa kutuma maombi ya seva mbadala kwa seva ya FTP inayodhibitiwa na mvamizi.
  • Uvujaji wa kumbukumbu katika mod_ssl ambao hutokea wakati wa kuweka maombi ya OCSP kwa minyororo.

Mabadiliko muhimu zaidi yasiyo ya usalama:

  • Moduli mpya imeongezwa mod_systemd, ambayo hutoa ushirikiano na meneja wa mfumo wa systemd. Moduli hukuruhusu kutumia httpd katika huduma na aina ya "Aina=arifu".
  • Usaidizi wa ujumuishaji mwingi umeongezwa kwa APK.
  • Uwezo wa moduli ya mod_md, iliyotengenezwa na mradi wa Let's Encrypt wa kubinafsisha upokeaji na matengenezo ya vyeti kwa kutumia itifaki ya ACME (Mazingira ya Usimamizi wa Cheti Kiotomatiki), umepanuliwa:
    • Imeongeza maagizo ya MDContactEmail, ambayo unaweza kubainisha barua pepe ya mawasiliano ambayo haiingiliani na data kutoka kwa maelekezo ya ServerAdmin.
    • Kwa wapangishi wote pepe, usaidizi wa itifaki inayotumiwa wakati wa kujadili njia salama ya mawasiliano (β€œtls-alpn-01”) huthibitishwa.
    • Ruhusu maelekezo ya mod_md kutumika katika vizuizi Na .
    • Inahakikisha kuwa mipangilio ya zamani inafutwa wakati wa kutumia tena MDCACChallenges.
    • Imeongeza uwezo wa kusanidi url ya Ctlog Monitor.
    • Kwa amri zilizofafanuliwa katika maagizo ya MDMessageCmd, simu iliyo na hoja ya "imesakinishwa" hutolewa wakati wa kuwezesha cheti kipya baada ya kuanzisha upya seva (kwa mfano, inaweza kutumika kunakili au kubadilisha cheti kipya kwa programu zingine).
  • mod_proxy_hcheck imeongeza uwezo wa kutumia kinyago cha %{Content-Type} katika vielezi vya kuangalia.
  • Njia za CookieSameSite, CookieHTTPOnly na CookieSecure zimeongezwa kwa mod_userrtrack ili kusanidi uchakataji wa vidakuzi vya mtumiaji.
  • mod_proxy_ajp hutumia chaguo la "siri" kwa vidhibiti vya seva mbadala ili kuauni itifaki ya uthibitishaji ya AJP13 iliyopitwa na wakati.
  • Usanidi ulioongezwa wa OpenWRT.
  • Umeongeza usaidizi kwa mod_ssl kwa kutumia vitufe na vyeti vya faragha kutoka OpenSSL ENGINE kwa kubainisha PKCS#11 URI katika SSLcertificateFile/KeyFile.
  • Jaribio lililotekelezwa kwa kutumia mfumo wa ujumuishaji wa Travis CI.
  • Uchanganuzi wa vichwa vya Uhamishaji-Usimbaji umeimarishwa.
  • mod_ssl hutoa mazungumzo ya itifaki ya TLS kuhusiana na seva pangishi pepe (inatumika inapojengwa kwa OpenSSL-1.1.1+.
  • Kwa kutumia hashing kwa majedwali ya amri, kuanzisha upya katika hali ya "neema" huharakishwa (bila kusumbua kuendesha vichakataji vya hoja).
  • Majedwali ya kusoma pekee r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table na r:subprocess_env_table hadi mod_lua. Ruhusu majedwali yapewe thamani "nil".
  • Katika mod_authn_socache kikomo cha saizi ya laini iliyohifadhiwa kimeongezwa kutoka 100 hadi 256.

Chanzo: opennet.ru

Kuongeza maoni