Apache HTTP Server 2.4.43 稳定版发布

发表于 4年以前  | 总阅读数:1470 次

4月1日,Apache基金会的Apache HTTP Server(HTTPD)发布了稳定版2.4.43,相较于去年8月份的上一个稳定版2.4.41增加了新特性(2.4.42),并修复了一些安全漏洞。

下载地址:

http://httpd.apache.org/download.cgi

CHANGES_2.4.43:

Changes with Apache 2.4.43

*) SECURITY: CVE-2020-1934 (cve.mitre.org)

mod_proxy_ftp: Use of uninitialized value with malicious backend FTP

server. [Eric Covener]

*) SECURITY: CVE-2020-1927 (cve.mitre.org)

rewrite, core: Set PCRE_DOTALL flag by default to avoid unpredictable

matches and substitutions with encoded line break characters.

The fix for CVE-2019-10098 was not effective. [Ruediger Pluem]

*) mod_ssl: Fix memory leak of OCSP stapling response. [Yann Ylavic]

Changes with Apache 2.4.42

*) mod_proxy_http: Fix the forwarding of requests with content body when a

balancer member is unavailable; the retry on the next member was issued

with an empty body (regression introduced in 2.4.41). PR63891.

[Yann Ylavic]

*) mod_http2: Fixes issue where mod_unique_id would generate non-unique request

identifier under load, see https://github.com/icing/mod\_h2/issues/195.

[Michael Kaufmann, Stefan Eissing]

*) mod_proxy_hcheck: Allow healthcheck expressions to use %{Content-Type}.

PR64140. [Renier Velazco <renier.velazco upr.edu>]

*) mod_authz_groupfile: Drop AH01666 from loglevel "error" to "info".

PR64172.

*) mod_usertrack: Add CookieSameSite, CookieHTTPOnly, and CookieSecure

to allow customization of the usertrack cookie. PR64077.

[Prashant Keshvani , Eric Covener]

*) mod_proxy_ajp: Add "secret" parameter to proxy workers to implement legacy

AJP13 authentication. PR 53098. [Dmitry A. Bakshaev ]

*) mpm_event: avoid possible KeepAliveTimeout off by -100 ms.

[Eric Covener, Yann Ylavic]

*) Add a config layout for OpenWRT. [Graham Leggett]

*) Add support for cross compiling to apxs. If apxs is being executed from

somewhere other than its target location, add that prefix to includes and

library directories. Without this, apxs would fail to find config_vars.mk

and exit. [Graham Leggett]

*) mod_ssl: Disable client verification on ACME ALPN challenges. Fixes github

issue mod_md#172 (https://github.com/icing/mod_md/issues/172).

[Michael Kaufmann , Stefan Eissing]

*) mod_ssl: use OPENSSL_init_ssl() to initialise OpenSSL on versions 1.1+.

[Graham Leggett]

*) mod_ssl: Support use of private keys and certificates from an

OpenSSL ENGINE via PKCS#11 URIs in SSLCertificateFile/KeyFile.

[Anderson Sasaki , Joe Orton]

*) mod_md:

- Prefer MDContactEmail directive to ServerAdmin for registration. New directive

thanks to Timothe Litt (@tlhackque).

- protocol check for pre-configured "tls-alpn-01" challenge has been improved. It will now

check all matching virtual hosts for protocol support. Thanks to @mkauf.

- Corrected a check when OCSP stapling was configured for hosts

where the responsible MDomain is not clear, by Michal Karm Babacek (@Karm).

- Softening the restrictions where mod_md configuration directives may appear. This should

allow for use in and sections. If all possible variations lead to the configuration

you wanted in the first place, is another matter.

[Michael Kaufmann , Timothe Litt (@tlhackque),

Michal Karm Babacek (@Karm), Stefan Eissing (@icing)]

*) test: Added continuous testing with Travis CI.

This tests various scenarios on Ubuntu with the full test suite.

Architectures tested: AMD64, s390x, ppc64le, arm64

The tests pass successfully.

[Luca Toscano, Joe Orton, Mike Rumph, and others]

*) core: Be stricter in parsing of Transfer-Encoding headers.

[ZeddYu <zeddyu.lu gmail.com>, Eric Covener]

*) mod_ssl: negotiate the TLS protocol version per name based vhost

configuration, when linked with OpenSSL-1.1.1 or later. The base vhost's

SSLProtocol (from the first vhost declared on the IP:port) is now only

relevant if no SSLProtocol is declared for the vhost or globally,

otherwise the vhost or global value apply. [Yann Ylavic]

*) mod_cgi, mod_cgid: Fix a memory leak in some error cases with large script

output. PR 64096. [Joe Orton]

*) config: Speed up graceful restarts by using pre-hashed command table. PR 64066.

[Giovanni Bechis , Jim Jagielski]

*) mod_systemd: New module providing integration with systemd. [Jan Kaluza]

*) mod_lua: Add r:headers_in_table, r:headers_out_table, r:err_headers_out_table,

r:notes_table, r:subprocess_env_table as read-only native table alternatives

that can be iterated over. [Eric Covener]

*) mod_http2: Fixed rare cases where a h2 worker could deadlock the main connection.

[Yann Ylavic, Stefan Eissing]

*) mod_lua: Accept nil assignments to the exposed tables (r.subprocess_env,

r.headers_out, etc) to remove the key from the table. PR63971.

[Eric Covener]

*) mod_http2: Fixed interaction with mod_reqtimeout. A loaded mod_http2 was disabling the

ssl handshake timeouts. Also, fixed a mistake of the last version that made H2Direct

always on, regardless of configuration. Found and reported by

Armin.Abfalterer@united-security-providers.ch and

Marcial.Rion@united-security-providers.ch. [Stefan Eissing]

*) mod_http2: Multiple field length violations in the same request no longer cause

several log entries to be written. [@mkauf]

*) mod_ssl: OCSP does not apply to proxy mode. PR 63679.

[Lubos Uhliarik , Yann Ylavic]

*) mod_proxy_html, mod_xml2enc: Fix build issues with macOS due to r1864469

[Jim Jagielski]

*) mod_authn_socache: Increase the maximum length of strings that can be cached by

the module from 100 to 256. PR 62149 [<thorsten.meinl knime.com>]

*) mod_proxy: Fix crash by resolving pool concurrency problems. PR 63503

[Ruediger Pluem, Eric Covener]

*) core: On Windows, fix a start-up crash if <IfFile ...> is used with a path that is not

valid (For example, testing for a file on a flash drive that is not mounted)

[Christophe Jaillet]

*) mod_deflate, mod_brotli: honor "Accept-Encoding: foo;q=0" as per RFC 7231; which

means 'foo' is "not acceptable". PR 58158 [Chistophe Jaillet]

*) mod_md v2.2.3:

- Configuring MDCAChallenges replaces any previous existing challenge configuration. It

had been additive before which was not the intended behaviour. [@mkauf]

- Fixing order of ACME challenges used when nothing else configured. Code now behaves as

documented for MDCAChallenges. Fixes #156. Thanks again to @mkauf for finding this.

- Fixing a potential, low memory null pointer dereference [thanks to @uhliarik].

- Fixing an incompatibility with a change in libcurl v7.66.0 that added unwanted

"transfer-encoding" to POST requests. This failed in directy communication with

Let's Encrypt boulder server. Thanks to @mkauf for finding and fixing. [Stefan Eissing]

*) mod_md: Adding the several new features.

The module offers an implementation of OCSP Stapling that can replace fully or

for a limited set of domains the existing one from mod_ssl. OCSP handling

is part of mod_md's monitoring and message notifications. If can be used

for sites that do not have ACME certificates.

The url for a CTLog Monitor can be configured. It is used in the server-status

to link to the external status page of a certicate.

The MDMessageCmd is called with argument "installed" when a new certificate

has been activated on server restart/reload. This allows for processing of

the new certificate, for example to applications that require it in different

locations or formats.

[Stefan Eissing]

*) mod_proxy_balancer: Fix case-sensitive referer check related to CSRF/XSS

protection. PR 63688. [Armin Abfalterer <a.abfalterer gmail.com>]

 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »