Apache HTTP sunucusu 2.4.43'in sürümü (sürüm 2.4.42 atlandı), bu sürüm ve ortadan kaldırıldı :
- CVE-2020-1927: mod_rewrite'da, sunucunun istekleri diğer kaynaklara iletmek (açık yönlendirme) için kullanılmasına izin veren bir güvenlik açığı. Bazı mod_rewrite ayarları, kullanıcının mevcut bir yönlendirmede kullanılan bir parametre içindeki yeni satır karakteri kullanılarak kodlanmış başka bir bağlantıya yönlendirilmesine neden olabilir.
- CVE-2020-1934: mod_proxy_ftp'deki güvenlik açığı. Başlatılmamış değerlerin kullanılması, isteklerin saldırgan tarafından kontrol edilen bir FTP sunucusuna proxy olarak gönderilmesi sırasında bellek sızıntılarına yol açabilir.
- OCSP istekleri zincirlenirken mod_ssl'de meydana gelen bellek sızıntısı.
Güvenlikle ilgili olmayan en dikkate değer değişiklikler şunlardır:
- Yeni modül eklendi systemd sistem yöneticisi ile entegrasyon sağlayan . Modül, httpd'yi “Type=notify” türündeki hizmetlerde kullanmanızı sağlar.
- Apxs'e çapraz derleme desteği eklendi.
- ACME (Otomatik Sertifika Yönetim Ortamı) protokolünü kullanarak sertifikaların alınmasını ve bakımını otomatikleştirmek için Let's Encrypt projesi tarafından geliştirilen mod_md modülünün yetenekleri genişletildi:
- ServerAdmin yönergesindeki verilerle çakışmayan bir iletişim e-postası belirleyebileceğiniz MDContactEmail yönergesi eklendi.
- Tüm sanal ana bilgisayarlar için, güvenli bir iletişim kanalı ("tls-alpn-01") üzerinden anlaşma yapılırken kullanılan protokol desteği kontrol edilir.
- ve bloklarında mod_md direktiflerinin kullanımına izin verilir.
- MDCAChallenges yeniden kullanıldığında geçmiş ayarların üzerine yazılmasını sağlar.
- CTLog Monitor için URL'yi yapılandırma yeteneği eklendi.
- MDMessageCmd yönergesinde tanımlanan komutlar için, sunucu yeniden başlatıldıktan sonra yeni bir sertifika etkinleştirilirken "kurulu" argümanına sahip bir çağrı sağlanır (örneğin, diğer uygulamalar için yeni bir sertifikayı kopyalamak veya dönüştürmek için kullanılabilir).
- mod_proxy_hcheck, kontrol ifadelerinde %{Content-Type} maskesi için destek ekledi.
- Kullanıcı takibi çerez işlemesini yapılandırmak için mod_usertrack'e CookieSameSite, CookieHTTPOnly ve CookieSecure modları eklendi.
- mod_proxy_ajp, proxy işleyicilerinin eski AJP13 kimlik doğrulama protokolünü desteklemesi için "gizli" bir seçenek uygular.
- OpenWRT için yapılandırma seti eklendi.
- SSLCertificateFile/KeyFile'da PKCS#11 URI'sini belirterek, OpenSSL ENGINE'dan özel anahtarları ve sertifikaları kullanmak için mod_ssl'ye destek eklendi.
- Sürekli entegrasyon sistemi Travis CI kullanılarak uygulanan testler.
- Transfer-Encoding başlıklarının ayrıştırılması sıkılaştırıldı.
- mod_ssl, sanal ana bilgisayarlarla ilişkili olarak TLS protokolü anlaşmasını sağlar (OpenSSL-1.1.1+ ile oluşturulduğunda desteklenir).
- Komut tabloları için karma oluşturma kullanılarak, "özel" modda yeniden başlatmalar hızlandırılır (çalışan sorgu işlemcileri kesintiye uğramadan).
- r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table ve r:subprocess_env_table salt okunur tabloları mod_lua'ya eklendi. Tablolara "nil" değerinin atanmasına izin verin.
- mod_authn_socache'de önbelleğe alınan satırın boyutuna ilişkin sınır 100'den 256'ya çıkarıldı.
Kaynak: opennet.ru