ProHoster > Блог > Новини інтернету > Реліз http-сервера Apache 2.4.43

Реліз http-сервера Apache 2.4.43

Опубліковано реліз HTTP-сервера Apache 2.4.43 (випуск 2.4.42 був пропущений), у якому представлено 34 зміни та усунено 3 вразливості:

  • CVE-2020-1927: ворожість у mod_rewrite, що дозволяє використовувати сервер для прокидання звернень на інші ресурси (open redirect). Деякі параметри mod_rewrite можуть призвести до прокидання користувача на інше посилання, закодоване за допомогою символу перекладу рядка всередині параметра, який використовується в існуючому редиректі.
  • CVE-2020-1934: вразливість у mod_proxy_ftp. Використання неініціалізованих значень може призвести до витоку вмісту пам'яті під час проксування запитів до FTP-сервера, підконтрольного зловмиснику.
  • Витік пам'яті в mod_ssl, що виникає при скріпленні запитів OCSP.

Найбільш помітні зміни, не пов'язані з безпекою:

  • Доданий новий модуль mod_systemd, що забезпечує інтеграцію із системним менеджером systemd. Модуль дозволяє використовувати httpd у сервісах із типом «Type=notify».
  • У apxs додано підтримку крос-компіляції.
  • Розширено можливості модуля mod_md, розробленого проектом Let's Encrypt для автоматизації отримання та обслуговування сертифікатів із використанням протоколу ACME (Automatic Certificate Management Environment):
    • Додано директиву MDContactEmail , через яку можна вказати контактний email, що не перетинається з даними з директиви ServerAdmin.
    • Для всіх віртуальних хостів забезпечено перевірку підтримки протоколу, використовуваного за погодженням захищеного каналу зв'язку («tls-alpn-01»).
    • Дозволено використання директив mod_md у блоках та .
    • Забезпечено заміну попередніх налаштувань при повторному використанні MDCAChallenges.
    • Додана можливість налаштування URL для CTLog Monitor.
    • Для визначених у директиві MDMessageCmd команд забезпечено виклик з аргументом "installed" при активації нового сертифіката після перезапуску сервера (наприклад, можна використовувати для копіювання або перетворення нового сертифіката для інших програм).
  • mod_proxy_hcheck додано підтримку маски %{Content-Type} у перевірочних виразах.
  • У mod_usertrack додані режими CookieSameSite, CookieHTTPONly та CookieSecure для налаштування обробки cookie usertrack.
  • У mod_proxy_ajp для проксі-обробників реалізовано параметр "secret" для підтримки застарілого протоколу автентифікації AJP13.
  • Додано набір конфігурації для OpenWRT.
  • У mod_ssl додано підтримку використання закритих ключів і сертифікатів з OpenSSL ENGINE через вказівку URI PKCS#11 в SSLCertificateFile/KeyFile.
  • Реалізовано тестування із використанням системи безперервної інтеграції Travis CI.
  • Посилено розбір заголовків Transfer-Encoding.
  • У mod_ssl забезпечено узгодження протоколу TLS у прив'язці до віртуальних хостів (підтримується під час збирання з OpenSSL-1.1.1+).
  • За рахунок застосування хешування для таблиць команд прискорено перезапуск у режимі "graceful" (без обриву виконуваних обробників запитів).
  • У mod_lua додані таблиці r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table та r:subprocess_env_table, доступні в режимі лише для читання. Дозволено призначення таблиць значення «nil».
  • У mod_authn_socache зі 100 до 256 збільшений ліміт на розмір рядка, що кешується.

Джерело: opennet.ru

Додати коментар або відгук