release ng Apache HTTP server 2.4.43 (release 2.4.42 ay nilaktawan), na nagpakilala at inalis :
- CVE-2020-1927: isang kahinaan sa mod_rewrite na nagpapahintulot sa server na magamit upang ipasa ang mga kahilingan sa iba pang mapagkukunan (bukas na pag-redirect). Ang ilang mod_rewrite na mga setting ay maaaring magresulta sa pagpapasa ng user sa isa pang link, na naka-encode gamit ang isang newline na character sa loob ng isang parameter na ginamit sa isang umiiral na pag-redirect.
- CVE-2020-1934: kahinaan sa mod_proxy_ftp. Ang paggamit ng hindi nasimulang mga halaga ay maaaring humantong sa mga pagtagas ng memory kapag humihiling ng proxy sa isang FTP server na kontrolado ng attacker.
- Memory leak sa mod_ssl na nangyayari kapag nagcha-chain ng mga kahilingan sa OCSP.
Ang pinaka-kapansin-pansing mga pagbabagong hindi pangseguridad ay:
- Idinagdag ang bagong module , na nagbibigay ng pagsasama sa systemd system manager. Hinahayaan ka ng module na gumamit ng httpd sa mga serbisyo na may uri na "Type=notify".
- Ang suporta sa cross-compilation ay naidagdag sa mga apx.
- Ang mga kakayahan ng mod_md module, na binuo ng proyektong Let's Encrypt upang i-automate ang pagtanggap at pagpapanatili ng mga certificate gamit ang protocol ng ACME (Automatic Certificate Management Environment), ay pinalawak:
- Idinagdag ang direktiba ng MDContactEmail, kung saan maaari mong tukuyin ang isang email sa pakikipag-ugnayan na hindi nagsasapawan sa data mula sa direktiba ng ServerAdmin.
- Para sa lahat ng virtual host, na-verify ang suporta para sa protocol na ginamit kapag nakikipag-usap sa isang secure na channel ng komunikasyon (βtls-alpn-01β).
- Payagan ang mod_md na mga direktiba na magamit sa mga bloke At .
- Tinitiyak na ang mga nakaraang setting ay na-overwrite kapag muling ginagamit ang MDCChallenges.
- Idinagdag ang kakayahang i-configure ang url para sa CTLog Monitor.
- Para sa mga utos na tinukoy sa direktiba ng MDMessageCmd, ang isang tawag na may "naka-install" na argumento ay ibinibigay kapag nag-activate ng isang bagong certificate pagkatapos ng pag-restart ng server (halimbawa, maaari itong magamit upang kopyahin o i-convert ang isang bagong certificate para sa iba pang mga application).
- Nagdagdag ang mod_proxy_hcheck ng suporta para sa %{Content-Type} mask sa mga expression ng check.
- Ang CookieSameSite, CookieHTTPOnly at CookieSecure mode ay naidagdag sa mod_usertrack upang i-configure ang pagpoproseso ng cookie ng usertrack.
- Ang mod_proxy_ajp ay nagpapatupad ng isang "lihim" na opsyon para sa mga humahawak ng proxy upang suportahan ang legacy na protocol ng pagpapatunay ng AJP13.
- Nagdagdag ng set ng configuration para sa OpenWRT.
- Nagdagdag ng suporta sa mod_ssl para sa paggamit ng mga pribadong key at certificate mula sa OpenSSL ENGINE sa pamamagitan ng pagtukoy sa PKCS#11 URI sa SSLCertificateFile/KeyFile.
- Ipinatupad ang pagsubok gamit ang tuluy-tuloy na sistema ng pagsasama na Travis CI.
- Ang pag-parse ng mga header ng Transfer-Encoding ay hinigpitan.
- Ang mod_ssl ay nagbibigay ng TLS protocol negotiation kaugnay ng mga virtual host (sinusuportahan kapag binuo gamit ang OpenSSL-1.1.1+.
- Sa pamamagitan ng paggamit ng pag-hash para sa mga talahanayan ng command, ang mga pag-restart sa "graceful" na mode ay pinabilis (nang hindi nakakaabala sa pagpapatakbo ng mga processor ng query).
- Nagdagdag ng mga read-only na talahanayan r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table at r:subprocess_env_table sa mod_lua. Payagan ang mga talahanayan na italaga ang halagang "nil".
- Sa mod_authn_socache ang limitasyon sa laki ng isang naka-cache na linya ay nadagdagan mula 100 hanggang 256.
Pinagmulan: opennet.ru