Выпущены три новых релиза HTTP сервера Apache: 2.2.8 (http://www.apache.org/dist/httpd/Announcement2.2.html), 2.0.63 (http://www.apache.org/dist/httpd/Announcement2.0.html) и 1.3.41 (http://www.apache.org/dist/httpd/Announcement1.3.html).
В Apache 1.3.41 исправлены (http://www.apache.org/dist/httpd/CHANGES_1.3.41) следующие проблемы связанные с безопасностью:
- Возможность межсайтового скриптига (XSS) в mod_status и mod_imap
- Ошибка в mod_proxy, которую можно использовать для совершения DoS атаки на платформах Windows и NetWare.
Также в 1.3.41 устранена недоработка, приводившая к появлению ошибок "Bad pid" в логе.
В Apache 2.0.63 (http://www.apache.org/dist/httpd/Announcement2.0.html) только устранена уязвимость связанная с возможностью межсайтового скриптига через модули mod_status и mod_imagemap.
Гораздо больше изменений (http://www.apache.org/dist/httpd/CHANGES_2.2.8) представлено в версии Apache 2.2.8. Кроме уже упоминавшихся XSS уязвимостей в mod_status и mod_imagemap, можно отметить исправление следующих проблем:
- Уязвимость в mod_proxy_balancer, дающая злоумышленнику возможность подстановки HTML и JavaScript кода в контексте чужого сайта, на котором используется mod_proxy_balancer.
- Возможность совершения DoS атаки через передачу системе управления модулем mod_proxy_balancer специально скомпонованного имени балансировщика.Изменения в 2.2.8 не связанные с безопасностью:
- Реализована директива ProxyFtpDirCharset, позволяющая для определённого пути задать кодировку вывода содержимого проксируемой FTP директории (ранее всегда выдавалось в ISO-8859-1);
- Во многих модулях добавлено явное указание кодировки при выводе данных, для устранения потенциальной возможности совершения XSS атаки на браузеры нарушающие в своей работе RFC2616;
- В Event MPM добавлена возможность совместной работы с модулем mod_ssl;
- В mod_rewrite добавлены две опции: NV (no vary) флаг в RewriteCond запрещающий выдачу заголовка Vary, и опция "B" (escape backreferences), предотвращающую раскодирование спец. символов (unescaping) в URL;- При помощи директивы "if" в mod_include отныне можно проверять доступность URL, например для скрытия линков на закрытые области сайта для пользователей не имеющих доступа;
- В mod_substitute добавлен новый фильтр вывода (output filter), который позволяет фильтровать вывод в соответствии с заданной маской (поддерживаются регулярные выражения);
- В mod_status появилась директива SeeRequestTail, определяющая отображать содержимое первых или последних 63 символов запроса. Работает при включенном режиме ExtendedStatus;- Исправлены ошибки в модулях winnt_mpm, mod_dav, mod_ssl, mod_ldap, mod_disk_cache, http_protocol, mod_proxy_ajp, mod_filter, mod_proxy_http, mod_autoindex, mod_charset_lite, mod_deflate и mod_proxy_ftp.
URL: http://www.apache.org/dist/httpd/Announcement2.2.html
Новость: http://www.opennet.me/opennews/art.shtml?num=13708
Тарболы ещё не выложеные на зеркалах и на сайте.
>Реализована директива ProxyFtpDirCharsetШикарно! Ждём в портах.
Я предпочитаю собирать из исходников :) Ждем mod_ssl к нему
Это я про Apache-1.3.41 :)