The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление HTTP сервера Apache - релизы 2.2.8, 2.0.63 и 1.3.41

17.01.2008 21:36

Выпущены три новых релиза HTTP сервера Apache: 2.2.8, 2.0.63 и 1.3.41.

В Apache 1.3.41 исправлены следующие проблемы связанные с безопасностью:

  • Возможность межсайтового скриптига (XSS) в mod_status и mod_imap
  • Ошибка в mod_proxy, которую можно использовать для совершения DoS атаки на платформах Windows и NetWare.
Также в 1.3.41 устранена недоработка, приводившая к появлению ошибок "Bad pid" в логе.

В Apache 2.0.63 только устранена уязвимость связанная с возможностью межсайтового скриптига через модули mod_status и mod_imagemap.

Гораздо больше изменений представлено в версии Apache 2.2.8. Кроме уже упоминавшихся XSS уязвимостей в mod_status и mod_imagemap, можно отметить исправление следующих проблем:

  • Уязвимость в mod_proxy_balancer, дающая злоумышленнику возможность подстановки HTML и JavaScript кода в контексте чужого сайта, на котором используется mod_proxy_balancer.
  • Возможность совершения DoS атаки через передачу системе управления модулем mod_proxy_balancer специально скомпонованного имени балансировщика.

Изменения в 2.2.8 не связанные с безопасностью:

  • Реализована директива ProxyFtpDirCharset, позволяющая для определённого пути задать кодировку вывода содержимого проксируемой FTP директории (ранее всегда выдавалось в ISO-8859-1);
  • Во многих модулях добавлено явное указание кодировки при выводе данных, для устранения потенциальной возможности совершения XSS атаки на браузеры нарушающие в своей работе RFC2616;
  • В Event MPM добавлена возможность совместной работы с модулем mod_ssl;
  • В mod_rewrite добавлены две опции: NV (no vary) флаг в RewriteCond запрещающий выдачу заголовка Vary, и опция "B" (escape backreferences), предотвращающую раскодирование спец. символов (unescaping) в URL;
  • При помощи директивы "if" в mod_include отныне можно проверять доступность URL, например для скрытия линков на закрытые области сайта для пользователей не имеющих доступа;
  • В mod_substitute добавлен новый фильтр вывода (output filter), который позволяет фильтровать вывод в соответствии с заданной маской (поддерживаются регулярные выражения);
  • В mod_status появилась директива SeeRequestTail, определяющая отображать содержимое первых или последних 63 символов запроса. Работает при включенном режиме ExtendedStatus;
  • Исправлены ошибки в модулях winnt_mpm, mod_dav, mod_ssl, mod_ldap, mod_disk_cache, http_protocol, mod_proxy_ajp, mod_filter, mod_proxy_http, mod_autoindex, mod_charset_lite, mod_deflate и mod_proxy_ftp.


  1. Главная ссылка к новости (http://www.apache.org/dist/htt...)
  2. Страница загрузки
  3. CHANGES_1.3.41
  4. CHANGES_2.2.8
  5. Apache Modules Multiple Vulnerabilities
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/13708-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (4) RSS
  • 1, daiver (??), 00:32, 18/01/2008 [ответить]  
    		• +/
    Тарболы ещё не выложеные на зеркалах и на сайте.

    http://httpd.apache.org/dev/dist/

     
  • 2, local (??), 22:41, 18/01/2008 [ответить]  
    		• +/
    >Реализована директива ProxyFtpDirCharset

    Шикарно! Ждём в портах.

     
  • 3, Vitaly_loki (ok), 14:42, 21/01/2008 [ответить]  
    		• +/
    Я предпочитаю собирать из исходников :) Ждем mod_ssl к нему
     
     
  • 4, Vitaly_loki (ok), 08:00, 22/01/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Это я про Apache-1.3.41 :)
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру