Релиз http-сервера Apache 2.4.43

Опубликован релиз HTTP-сервера Apache 2.4.43 (выпуск 2.4.42 был пропущен), в котором представлено 34 изменения и устранено 3 уязвимости:

  • CVE-2020-1927: уявзимость в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые настройки mod_rewrite могут привести к пробросу пользователя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе.
  • CVE-2020-1934: уязвимость в mod_proxy_ftp. Использование неинициализированных значений может привести к утечке содержимого памяти при проксировании запросов к FTP-серверу, подконтрольному злоумышленнику.
  • Утечка памяти в mod_ssl, возникающая при скреплении запросов OCSP.

Наиболее заметные изменения, не связанные с безопасностью:

  • Добавлен новый модуль mod_systemd, обеспечивающий интеграцию с системным менеджером systemd.
  • В apxs добавлена поддержка кросс-компиляции.
  • Расширены возможности модуля mod_md, разработанного проектом Let’s Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment):
    • Добавлена директива MDContactEmail , через которую можно указать контактный email, не пересекающийся с данными из директивы ServerAdmin.
    • Для всех виртуальных хостов обеспечена проверка поддержки протокола, используемого при согласовании защищённого канала связи («tls-alpn-01»).
    • Разрешено использование директив mod_md в блоках ‹If› и ‹Macro›.
    • Обеспечена замена прошлых настроек при повторном использовании MDCAChallenges.
    • Добавлена возможность настройки url для CTLog Monitor.
    • Для определённых в директиве MDMessageCmd команд обеспечен вызов с аргументом «installed» при активации нового сертификата после перезапуска сервера (например, можно использовать для копирования или преобразования нового сертификата для других приложений).
  • mod_proxy_hcheck добавлена поддержка маски %{Content-Type} в проверочных выражениях.
  • В mod_usertrack добавлены режимы CookieSameSite, CookieHTTPOnly и CookieSecure для настройки обработки Сookie usertrack.
  • В mod_proxy_ajp для прокси-обработчиков реализован параметр «secret» для поддержки устаревшего протокола аутентификации AJP13.
  • Добавлен набор конфигурации для OpenWRT.
  • В mod_ssl добавлена поддержка использования закрытых ключей и сертификатов из OpenSSL ENGINE через указание URI PKCS#11 в SSLCertificateFile/KeyFile.
  • Реализовано тестирование с использованием системы непрерывной интеграции Travis CI.
  • Ужесточён разбор заголовков Transfer-Encoding.
  • В mod_ssl обеспечено согласование протокола TLS в привязке к виртуальным хостам (поддерживается при сборке с OpenSSL-1.1.1+.
  • За счёт применения хэширования для таблиц команд ускорен перезапуск в режиме «graceful» (без обрыва выполняемых обработчиков запросов).
  • В mod_lua добавлены таблицы r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table и r:subprocess_env_table, доступные в режиме только для чтения. Разрешено назначение таблицам значения «nil».
  • В mod_authn_socache со 100 до 256 увеличен лимит на размер кэшируемой строки.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52676