La 阿帕奇软件基金会揭幕 几天前 HTTP服务器“ Apache 2.4.43”新版本的发布,除了提供对34版的一系列改进之外,还提供了3个更改和2.2个固定漏洞。
对于那些不熟悉Apache的人,您应该知道它是什么。 开源HTTP Web服务器,可用于Unix平台(BSD,GNU / Linux等),Microsoft Windows,Macintosh等。
Apache 2.4.43的新功能是什么?
该服务器的新版本被认为很重要 因为它标志着2.2x分支生命周期的结束,并且该版本基于并扩展了Apache 2.2 API,并且必须重新编译为Apache 2.2编写的模块才能与Apache 2.4一起运行。
在此版本中,最主要的变化是 添加一个新模块“ mod_systemd”, 该 提供与Systemd系统管理员的集成 并允许在类型为“类型=通知”的服务中使用httpd。
另外, mod_md模块功能 由Let's Encrypt项目开发,以使用ACME协议(自动证书管理环境)自动进行证书的接收和维护 被扩展。
从模块中的更改中,我们可以找到 mod_authn_socache对缓存行大小的限制已从100增加到256。
在mod_ssl中,TLS协议与虚拟主机一起协商(与OpenSSL-1.1.1 +编译兼容)。
Mod_ssl添加了对使用OpenSSL ENGINE私钥和证书的支持 在SSLCertificateFile / KeyFile中指定PKCS#11 URI时。
mod_proxy_hcheck在测试表达式中增加了对%{Content-Type}掩码的支持。
将CookieSameSite,CookieHTTPOnly和CookieSecure模式添加到mod_usertrack 配置cookie处理用户跟踪。
用于代理驱动程序的Mod_proxy_ajp实现“ secret”参数以支持不赞成使用的身份验证协议AJP13。
对于MDMessageCmd指令中定义的命令,在重新启动服务器后激活新证书时会提供一个带有“已安装”参数的调用(例如,它可用于为其他应用程序复制或转换新证书)。
添加了MDContactEmail指令,您可以通过该指令指定与ServerAdmin指令中的数据不重叠的联系人电子邮件。
其他变化 从这个版本中脱颖而出:
- 交叉编译支持已添加到apxs。
- 对于所有虚拟主机,都为协商安全通信通道(“ tls-alpn-01”)时使用的协议提供支持。
- 块中允许使用Mod_md指令ÿ 。
- 再次使用MDCAC挑战时,替换了旧的设置。
- 增加了为CTLog Monitor设置URL的功能。
- 添加了OpenWRT的配置集。
- 使用Travis CI持续集成系统实施的测试。
- 解析的传输编码标头。
- 由于对命令表使用了散列,因此加快了“优美”模式下的重新启动(不会中断已执行的请求处理程序)。
- 表已添加到mod_lua中r:headers_in_table,r:headers_out_table,r:err_headers_out_table,r:notes_table和r:subprocess_env_table,以只读模式提供。 允许将表设置为空。
对于部分已更正的错误 在这个新版本中:
- CVE-2020-1927:mod_rewrite中的漏洞,该漏洞允许服务器用来将呼叫转发到其他资源(开放重定向)。 某些mod_rewrite设置可以将用户带到使用现有重定向中使用的参数内的换行字符编码的另一个链接。
- CVE-2020-1934:mod_proxy_ftp中的漏洞在将请求发送到攻击者控制的FTP服务器时,使用未初始化的值可能会导致内存泄漏。
- 加入OCSP请求时,mod_ssl中发生内存泄漏。
最后 如果您想了解更多 关于此新版本,您可以在 以下链接。
排出
您可以通过访问Apache官方网站获取新版本,并在其下载部分中找到新版本的链接。