Релиз http-сервера Apache 2.4.4

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

25 февраля 2013 года

Доступен корректирующий релиз http-сервера Apache 2.4.4 в котором устранено 2 уязвимости и представлено 59 исправлений. Исправленные уязвимости (CVE-2012-3499, CVE-2012-4558) помечены как неопасные и проявляются возможностью подстановки HTML-кода (XSS) в вывод модулей mod_info, mod_status, mod_imagemap, mod_ldap и mod_proxy_ftp, из-за отсутствия должного экранирования спецсимволов в имени хоста, а также через передачу специально оформленных параметров в управляющий интерфейс mod_proxy_balancer.

Из не связанных с безопасностью исправлений можно отметить:

  • В mod_ssl добавлена поддержка TLS-SRP (Secure Remote Password key exchange for TLS, RFC 5054). Для предотвращения атак типа " CRIME", по умолчанию отключена поддержка сжатия, значение SSLCompression теперь установлено в off;
  • В htpasswd и htdbm добавлена поддержка алгоритма bcrypt и обеспечена генерация случайного 42-битового salt. В качестве более безопасной альтернативы указания пароля с опцией "-b", добавлена возможность чтения пароля из стандартного ввода;
  • В mod_dir для опции FallbackResource добавлена поддержка значения 'disabled';
  • В mod_lua добавлены биндинги для доступа к БД mod_dbd/apr_dbd;
  • В mod_proxy обеспечено сохранение между перезапусками настроек, добавленных через интерфейс настройки балансировщика (balancer-manager);
  • В mod_status добавлен вывод информации когда последний раз использовался виртуальный хост;
  • В mod_proxy_http указание 0 в параметре LimitRequestBody теперь воспринимается как отсутствие ограничений;
  • В скрипте configure налажена обработка опций "--disable-FEATURE" для ряда возможностей;
  • В ab обеспечена поддержка TLS1.1/TLS1.2 в качестве аргумента опции "-f". Добавлена возможность указания таймаута для сокета (-s timeout);
  • В mod_auth_form добавлена поддержка парсинга выражений для директив AuthFormLoginRequiredLocation, AuthFormLoginSuccessLocation и

AuthFormLogoutLocation;

  • В mod_rewrite прекращено слияние параметров RewriteBase вниз по директориям без указания опции 'RewriteOptions MergeBase';
  • Модули и rotatelogs переведены с apr_file_write() на apr_file_write_full() для избежания неполной записи данных;
  • В mod_proxy_ftp устранён крах при выполнении IPv4 запросов к хостам с AAAA-записями в DNS;
  • В mod_auth_form устранены проблемы с заполнением переменной окружения REMOTE_USER при выполнении подзапроса через mod_include;
  • В mod_header добавлена возможность вывода параметров нагрузки на сервер (loadavg) через указание переметров %l, %i, %b. В ядро httpd добавлена реализация функций ap_get_sload() и ap_get_loadavg();
  • Работа ErrorDocument обеспечена в том числе для запросов без указания заголовка Host;
  • В mod_proxy при слиянии значения PPR добавлена защита от объединения комбинации ".../" и "/...", приводящей в результате к пути "...//...";
  • Устранены ошибки и проблемы, приводящие к краху, в mod_proxy, htcacheclean, mod_slotmem_shm, mod_proxy_balancer, mod_dialup, httxt2dbm, mod_xml2enc, mod_cache_disk, mod_session_dbd, mod_ldap.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Релиз http-сервера Apache 2.4.4», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Релиз_http-сервера_Apache_2.4.4&oldid=8683843