Релиз http-сервера Apache 2.4.43

Опубликован релиз HTTP-сервера Apache 2.4.43 (выпуск 2.4.42 был пропущен), в котором представлено 34 изменения и устранено 3 уязвимости:

CVE-2020-1927: уявзимость в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые настройки mod_rewrite могут привести к пробросу пользователя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе.
CVE-2020-1934: уязвимость в mod_proxy_ftp. Использование неинициализированных значений может привести к утечке содержимого памяти при проксировании запросов к FTP-серверу, подконтрольному злоумышленнику.
Утечка памяти в mod_ssl, возникающая при скреплении запросов OCSP.

Наиболее заметные изменения, не связанные с безопасностью:

Добавлен новый модуль mod_systemd, обеспечивающий интеграцию с системным менеджером systemd. Модуль позволяет использовать httpd в сервисах с типом "Type=notify".
В apxs добавлена поддержка кросс-компиляции.
Расширены возможности модуля mod_md, разработанного проектом Let's Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment):
Добавлена директива MDContactEmail , через которую можно указать контактный email, не пересекающийся с данными из директивы ServerAdmin.
Для всех виртуальных хостов обеспечена проверка поддержки протокола, используемого при согласовании защищённого канала связи ("tls-alpn-01").
Разрешено использование директив mod_md в блоках ‹If› и ‹Macro›.
Обеспечена замена прошлых настроек при повторном использовании MDCAChallenges.
Добавлена возможность настройки url для CTLog Monitor.
Для определённых в директиве MDMessageCmd команд обеспечен вызов с аргументом "installed" при активации нового сертификата после перезапуска сервера (например, можно использовать для копирования или преобразования нового сертификата для других приложений).
mod_proxy_hcheck добавлена поддержка маски %{Content-Type} в проверочных выражениях.
В mod_usertrack добавлены режимы CookieSameSite, CookieHTTPOnly и CookieSecure для настройки обработки Сookie usertrack.
В mod_proxy_ajp для прокси-обработчиков реализован параметр "secret" для поддержки устаревшего протокола аутентификации AJP13.
Добавлен набор конфигурации для OpenWRT.
В mod_ssl добавлена поддержка использования закрытых ключей и сертификатов из OpenSSL ENGINE через указание URI PKCS#11 в SSLCertificateFile/KeyFile.
Реализовано тестирование с использованием системы непрерывной интеграции Travis CI.
Ужесточён разбор заголовков Transfer-Encoding.
В mod_ssl обеспечено согласование протокола TLS в привязке к виртуальным хостам (поддерживается при сборке с OpenSSL-1.1.1+.
За счёт применения хэширования для таблиц команд ускорен перезапуск в режиме "graceful" (без обрыва выполняемых обработчиков запросов).
В mod_lua добавлены таблицы r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table и r:subprocess_env_table, доступные в режиме только для чтения. Разрешено назначение таблицам значения "nil".
В mod_authn_socache со 100 до 256 увеличен лимит на размер кэшируемой строки.

Источник: https://www.opennet.ru/opennews/art.shtml?num=52676