Обновление HTTP сервера Apache — релизы 2.2.8, 2.0.63 и 1.3.41
17 января 2008 года
Выпущены три новых релиза HTTP сервера Apache: 2.2.8 (Архивная копия от 3 декабря 2016 на Wayback Machine), 2.0.63 (Архивная копия от 21 августа 2014 на Wayback Machine) и 1.3.41 (Архивная копия от 9 марта 2011 на Wayback Machine).
В Apache 1.3.41 исправлены (Архивная копия от 27 января 2010 на Wayback Machine) следующие проблемы связанные с безопасностью:
- Возможность межсайтового скриптига (XSS) в mod_status и mod_imap
- Ошибка в mod_proxy, которую можно использовать для совершения DoS атаки на платформах Windows и NetWare.
Также в 1.3.41 устранена недоработка, приводившая к появлению ошибок "Bad pid" в логе.
В Apache 2.0.63 (Архивная копия от 21 августа 2014 на Wayback Machine) только устранена уязвимость связанная с возможностью межсайтового скриптига через модули mod_status и mod_imagemap.
Гораздо больше изменений (Архивная копия от 29 мая 2008 на Wayback Machine) представлено в версии Apache 2.2.8. Кроме уже упоминавшихся XSS уязвимостей в mod_status и mod_imagemap, можно отметить исправление следующих проблем:
- Уязвимость в mod_proxy_balancer, дающая злоумышленнику возможность подстановки HTML и JavaScript кода в контексте чужого сайта, на котором используется mod_proxy_balancer.
- Возможность совершения DoS атаки через передачу системе управления модулем mod_proxy_balancer специально скомпонованного имени балансировщика.
Изменения в 2.2.8 не связанные с безопасностью:
- Реализована директива ProxyFtpDirCharset, позволяющая для определённого пути задать кодировку вывода содержимого проксируемой FTP директории (ранее всегда выдавалось в ISO-8859-1);
- Во многих модулях добавлено явное указание кодировки при выводе данных, для устранения потенциальной возможности совершения XSS атаки на браузеры нарушающие в своей работе RFC2616;
- В Event MPM добавлена возможность совместной работы с модулем mod_ssl;
- В mod_rewrite добавлены две опции: NV (no vary) флаг в RewriteCond запрещающий выдачу заголовка Vary, и опция "B" (escape backreferences), предотвращающую раскодирование спец. символов (unescaping) в URL;
- При помощи директивы "if" в mod_include отныне можно проверять доступность URL, например для скрытия линков на закрытые области сайта для пользователей не имеющих доступа;
- В mod_substitute добавлен новый фильтр вывода (output filter), который позволяет фильтровать вывод в соответствии с заданной маской (поддерживаются регулярные выражения);
- В mod_status появилась директива SeeRequestTail, определяющая отображать содержимое первых или последних 63 символов запроса. Работает при включенном режиме ExtendedStatus;
- Исправлены ошибки в модулях winnt_mpm, mod_dav, mod_ssl, mod_ldap, mod_disk_cache, http_protocol, mod_proxy_ajp, mod_filter, mod_proxy_http, mod_autoindex, mod_charset_lite, mod_deflate и mod_proxy_ftp.
Источники[править]
- Главная ссылка к новости (http://www.apache.org/dist/htt...) (Архивная копия от 3 декабря 2016 на Wayback Machine)
- Страница загрузки
- CHANGES_1.3.41 (Архивная копия от 27 января 2010 на Wayback Machine)
- CHANGES_2.2.8 (Архивная копия от 29 мая 2008 на Wayback Machine)
- Apache Modules Multiple Vulnerabilities
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.