Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4).
Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию.
Из изменений можно отметить:- В mod_lua добавлена директива LuaAuthzProvider для создания провайдеров авторизации на языке Lua;
- Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: application/x-www-form-urlencoded" с целью избежания потерь данных с добавленным указанием кодировки.
- В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 10.0, так как они расходятся со спецификацией DNT);
- В mod_rewrite устранён крах при хранении RewriteMaps правил в базе dbd;
- В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне TLS;
- В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip переименован в client_ip. Для разбора параметров POST-запроса добавлена функция parsebody;
- В mod_setenvif обеспечена компиляции глобальных регулярных выражений на этапе запуска, что позволило уменьшить потребление памяти, особенно при использовании .htaccess;
- При указании в mod_so через опции LoadFile и LoadModule имени файла без пути, если файл не найден в директории сервера, то он будет открыт из системных библиотечных путей, видимых через dlopen();
- В mod_rewrite добавлена опция "AllowAnyURI".
URL: http://www.apache.org/dist/httpd/CHANGES_2.4
Новость: http://www.opennet.me/opennews/art.shtml?num=34626
А в репозиториях Ubuntu до сих пор ещё 2.2 лежит... мда.
потому что есть nginx
Да и nginx в репозиториях то не свежий - 1.1.
Да, убу нынче не торт, даже дебиановских пересобрать "жаждущим" не смогли. Какое уж там апстриим...<//набрасываем-набрасываем>
А Вам чем-то 2.2 не устраивает? Или Вы просто за версией гонитесь?
+1!
> А Вам чем-то 2.2 не устраивает? Или Вы просто за версией гонитесь?Те, кто за версией не гонятся, сидят на Debian stable или CentOS.
В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в портах. Может быть только в генту, но они наркоманы и им можно :)
На днях должно придти обновление, а пока:$ apt-cache policy apache2
apache2:
Installed: 2.2.22-9
Candidate: 2.2.22-11
Version table:
2.4.2-2 0
1 http://debian.balt.net/debian/ experimental/main i386 Packages
2.2.22-11 0
500 http://debian.balt.net/debian/ testing/main i386 Packages
50 http://debian.balt.net/debian/ unstable/main i386 Packages
*** 2.2.22-9 0
100 /var/lib/dpkg/status$ cat /etc/debian_version
wheezy/sid
> В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в
> портах. Может быть только в генту, но они наркоманы и им
> можно :)Да, я наркоман :) И с моей наркоманской поззиции поедатели продуктов мамонта ... мм, вобщем
поедатели
Ну если вам так нравится фекальная тема, то расскажите в чем преимущество в поедании того же продукта за землеройкой? Всегда свежее и много? Это актуально при пробивании на хавчик?
> Ну если вам так нравится фекальная тема, то расскажите в чем преимущество
> в поедании того же продукта за землеройкой? Всегда свежее и много?
> Это актуально при пробивании на хавчик?Фекальная тема нравится пользователям ветки 2.2. "Наркоманы" же, наоборот, предпочитают пищу, еще не бывшую в употреблении =)
> В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в
> портах. Может быть только в генту, но они наркоманы и им
> можно :)Вы полагаете, что цифры в релизе ничего не значат. Прочитайте про разницу веток Apache 2.2 и 2.4 может быть тогда поймете разницу. Отсутствие новой версии продукта в разных дистрибутивах не говорит о том, что эта версия продукта хуже, чем предыдущая. Это говорит только о том, что все продукты, которые взаимодействуют каким либо образом с данным продуктом не были полностью проверены. На это нужно время, если у данного продукта есть майнтейнер в том или ином дистрибутиве.
а почему вы "киллер-фичи" ставите сначала в продакш, потом в тестовый пул, а не наоборот?
Продукты, которые сменили мажорный или минорный номер версии и содержат новые функции. Которые могут вызывать проблемы обратной совместимости версий. Обычно попадают в дистрибутив только к следующему релизу дистрибутива ОС. А до этого момента они помещаются в тестовый репозиторий. Связано это с тем что, все продукты, которые взаимодействуют каким либо образом с данным продуктом не были полностью проверены (на совместимость). Более того некоторые продукты при смене мажорных или минорных версий, меняют так же мажорные или минорные версии библиотек если такие имеются в данном продукте. Поэтому при смене Apache с версии 2.2 на 2.4 необходимо перекомпилировать, а иногда даже обновить все бинарные пакеты от него зависящие. Поэтому такие обновления обычно подготавливают к релизу дистрибутива ОС, и не пускают такое обновление для массового применения.Есть дистрибутивы ОС, где используется непрерывный цикл обновлений и в таком дистрибутиве вы найдете новую версию продукта сразу же после того как она будет полностью протестирована.
Все зависит от идеологии дистрибутива ОС, а самое главное от активности его сообщества то есть майнтейнеров и тестеров.
В генте кстати 2.4.3 еще нету, но есть 2.4.2, который сильно замаскирован.
Считаю, что с целю увеличения защищенности веб-сервера следует отключать те модули, которые не используются для решения определенной конкретной задачи. http://www.aleksey.crimea.ua/apache_modules.html