Ya fue liberada la nueva versión de Apache 2.4.43, llega con mejoras en módulos y más
La Apache Software Foundation dio a conocer hace algunos días la liberación de la nueva versión del servidor HTTP “Apache 2.4.43”, que presenta 34 cambios y 3 vulnerabilidades solucionadas, además de que proporciona una serie de mejoras sobre la versión 2.2.
Para quienes desconocen de Apache, deben saber que es un servidor web HTTP de código abierto, el cual está disponible para las plataformas Unix (BSD, GNU/Linux, etc.), Microsoft Windows, Macintosh y otras.
¿Qué hay de nuevo en Apache 2.4.43?
Esta nueva versión del servidor se considera como importante pues llega a marcar el fin de vida de la rama 2.2x y que esta versión se basa y amplía la API de Apache 2.2 y los módulos escritos para Apache 2.2 deberán volver a compilarse para ejecutarse con Apache 2.4.
Dentro de los principales cambios que se destacan de esta versión es la adición de un nuevo módulo “mod_systemd”, que proporciona integración con el administrador del sistema Systemd y que permite utilizar httpd en servicios con el tipo ” Type=notify”.
Además, las capacidades del módulo mod_md desarrollado por el proyecto Let’s Encrypt para automatizar la recepción y el mantenimiento de certificados utilizando el protocolo ACME (Entorno automático de gestión de certificados) se amplían.
De los cambios en los módulos, podremos encontrar que para mod_authn_socache el límite en el tamaño de la línea en caché se ha incrementado de 100 a 256.
En mod_ssl, el protocolo TLS se negocia junto con los hosts virtuales (compatible con la compilación con OpenSSL-1.1.1 +.
Mod_ssl agregó soporte para usar claves privadas y certificados de OpenSSL ENGINE al especificar PKCS # 11 URI en SSLCertificateFile / KeyFile.
mod_proxy_hcheck agregó soporte para la máscara% {Content-Type} en expresiones de prueba.
Se agregaron los modos cookieSameSite, CookieHTTPOnly y CookieSecure a mod_usertrack para configurar el procesamiento de cookie usertrack.
Mod_proxy_ajp para controladores proxy implementa el parámetro “secreto” para admitir el protocolo de autenticación obsoleto AJP13.
Para los comandos definidos en la directiva MDMessageCmd, se proporciona una llamada con el argumento “instalado” cuando se activa un nuevo certificado después de reiniciar el servidor (por ejemplo, se puede usar para copiar o convertir un nuevo certificado para otras aplicaciones).
Se agregó la directiva MDContactEmail, a través de la cual puede especificar un correo electrónico de contacto que no se superpone con los datos de la directiva ServerAdmin.
De los demás cambios que se destacan de esta versión:
- Se ha agregado soporte de compilación cruzada a apxs.
- Para todos los hosts virtuales, se proporciona soporte para el protocolo utilizado al negociar un canal de comunicación seguro (“tls-alpn-01”).
- Las directivas Mod_md están permitidas en los bloques <If> y <Macro>.
- Se reemplazó la configuración anterior al volver a usar los desafíos de MDCAC.
- Se agregó la capacidad de configurar url para CTLog Monitor.
- Conjunto de configuración agregado para OpenWRT.
- Pruebas implementadas utilizando el sistema de integración continua Travis CI.
- Encabezados de codificación de transferencia analizados.
- Debido al uso de hashing para las tablas de comandos, se ha acelerado el reinicio en modo “agraciado” (sin interrumpir los manejadores de solicitudes ejecutados).
- Se agregaron tablas a mod_lua r: headers_in_table, r: headers_out_table, r: err_headers_out_table, r: notes_table yr: subprocess_env_table, disponible en modo de solo lectura. Permitir que las tablas se establezcan en nulo.
Por la parte de los errores corregidos en esta nueva versión:
- CVE-2020-1927: vulnerabilidad en mod_rewrite, que permite que el servidor se use para reenviar llamadas a otros recursos (redirección abierta). Algunas configuraciones mod_rewrite pueden llevar al usuario a otro enlace codificado usando el carácter de avance de línea dentro del parámetro utilizado en la redirección existente.
- CVE-2020-1934: vulnerabilidad en mod_proxy_ftp. El uso de valores no inicializados puede provocar una pérdida de memoria cuando se envían solicitudes a un servidor FTP controlado por un atacante.
- Una pérdida de memoria en mod_ssl que ocurre cuando las solicitudes OCSP están unidas.
Finalmente si quieres conocer más al respecto sobre este nuevo lanzamiento, puedes consultar los detalles en el siguiente enlace.
Descarga
Puedes obtener la nueva versión dirigiéndote al sitio web oficial de Apache y en su sección de descargas encontraras el enlace a la nueva versión.