Apache HTTP 伺服器 2.4.43 版本(跳過了 2.4.42 版本),其中引入了 並消除了 :
- CVE-2020-1927:mod_rewrite 中的一個漏洞,允許伺服器用於將請求轉發到其他資源(開放重定向)。 某些 mod_rewrite 設定可能會導致使用者被轉發到另一個鏈接,並使用現有重定向中使用的參數內的換行符進行編碼。
- CVE-2020-1934:mod_proxy_ftp 的漏洞。 將請求代理到攻擊者控制的 FTP 伺服器時,使用未初始化的值可能會導致記憶體洩漏。
- 連結 OCSP 請求時發生 mod_ssl 中的記憶體洩漏。
最顯著的非安全變化是:
- 新增了新模組 ,它提供與 systemd 系統管理器的整合。 此模組可讓您在「Type=notify」類型的服務中使用 httpd。
- apxs 中新增了交叉編譯支援。
- 由 Let's Encrypt 專案開發的 mod_md 模組的功能已擴展,用於使用 ACME(自動憑證管理環境)協定自動接收和維護憑證:
- 新增了 MDContactEmail 指令,透過該指令您可以指定不與 ServerAdmin 指令中的資料重疊的聯絡人電子郵件。
- 對於所有虛擬主機,都會驗證對協商安全通訊通道(“tls-alpn-01”)時所使用的協定的支援。
- 允許在區塊中使用 mod_md 指令和。
- 確保重複使用 MDCAChallenges 時覆蓋過去的設定。
- 新增了配置 CTLog Monitor url 的功能。
- 對於 MDMessageCmd 指令中定義的命令,在伺服器重新啟動後啟動新憑證時,會提供具有「installed」參數的呼叫(例如,它可用於為其他應用程式複製或轉換新憑證)。
- mod_proxy_hcheck 在檢查表達式中新增了對 %{Content-Type} 遮罩的支援。
- mod_usertrack 中新增了 CookieSameSite、CookieHTTPOnly 和 CookieSecure 模式來設定 usertrack cookie 處理。
- mod_proxy_ajp 為代理處理程序實作了一個「秘密」選項,以支援舊版 AJP13 驗證協定。
- 新增了 OpenWRT 的配置集。
- 透過在 SSLCertificateFile/KeyFile 中指定 PKCS#11 URI,新增了對 mod_ssl 的支持,以使用來自 OpenSSL ENGINE 的私鑰和憑證。
- 使用持續整合系統 Travis CI 實施測試。
- Transfer-Encoding 標頭的解析已加強。
- mod_ssl 提供與虛擬主機相關的 TLS 協定協商(使用 OpenSSL-1.1.1+ 建置時支援。
- 透過對命令表使用雜湊,可以加速「優雅」模式下的重新啟動(不會中斷正在執行的查詢處理器)。
- 在 mod_lua 中加入了唯讀表 r:headers_in_table、r:headers_out_table、r:err_headers_out_table、r:notes_table 和 r:subprocess_env_table。 允許為表分配值“nil”。
- 在 mod_authn_socache 中,快取行的大小限制已從 100 增加到 256。
來源: opennet.ru