Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое существование

29.01.2010 16:42

Увидел свет релиз http-сервера Apache 1.3.42 в котором устранена критическая уязвимость в mod_proxy, вызванная возможностью совершения целочисленного переполнения в функции "ap_proxy_send_fb(). Успешная эксплуатация может позволить злоумышленнику выполнить свой код на сервере, работающем в режиме прокси. Успешное проведение атаки возможно только на 64-разрядных системах, на которых тип данных "long" превышает по размеру тип "int".

Разработчики сообщили о том, что Apache 1.3.42 является последним релизом серии 1.3.x, но в случае обнаружения критических уязвимостей патчи в будущем можно будет загрузить на странице www.apache.org/dist/httpd/patches. Пользователям Apache 1.3.x рекомендуется провести переход на версию Apache 2.2.14.

Одновременно вышел релиз Apache 2.3.5, имеющий статус альфа-версии. В дальнейшем на базе тестовой ветки Apache 2.3.x будет сформирован стабильный релиз Apache 2.4.0. Из новшеств Apache 2.4 можно отметить:

Возможность указания значения параметра KeepAliveTimeout в миллисекундах;
Добавление Simple MPM, написанного с нуля MPM-модуля с поддержкой управления несколькими многопоточными обработчиками. В модуле не используются функции "os/unixd/". Разработчик надеется, что в Apache 2.4.0 данный MPM будет использован по умолчанию для Unix систем;
Многие MPM могут быть сразу собраны в виде динамически загружаемых модулей, которые можно активировать в конфигурации без последующей пересборки;
В mod_ssl добавлена поддержка проверки статуса клиентского сертификата на OCSP серверах. Также добавлена возможность совместного использования данных SSL сессии на нескольких http-серверах, через задействование memcached;
Новый модуль mod_lua, позволяющим интегрировать в httpd интерпретатор языка Lua;
В состав включен модуль mod_proxy_fcgi, с поддержкой проксирования протокола FastCGI (поддержка схемы "fcgi:" в директиве "ProxyPass");
В поставку Apache включен скрипт fcgistarter, предназначенный для запуска серверных FastCGI процессов.

исправить +2 +/–

Главная ссылка к новости (http://httpd.apache.org/dev/di...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/25215-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (29)

1.1, Аноним (-), 17:33, 29/01/2010 [ответить] [﹢﹢﹢] [ · · · ]	–7 +/–
Дропнуть развитие проекта на котором держится как минимум треть веба ... А всего вчера казалось что может быть хуже того что Солнце проглотили? - а вот нате ... Это мир катится в СГ!(С)

2.3, Aquarius (ok), 17:43, 29/01/2010 [^] [^^] [^^^] [ответить]	+3 +/–
> Дропнуть развитие проекта на котором держится как минимум треть веба ... > А всего вчера казалось что может быть хуже того что Солнце проглотили? - а вот нате ... > Это мир катится в СГ!(С) его проглотили? в смысле, исходники удалят с серверов, зеркал и со всех компьютеров всего мира? дальнейшее использование будет преследоваться по закону? куда его развивать?

2.11, ПринцЧорнойТьмы (?), 19:15, 29/01/2010 [^] [^^] [^^^] [ответить]	+/–
Написали же что в случае обнаружения уязвимостей будут фиксить.

1.2, Aquarius (ok), 17:39, 29/01/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
возможно ли (самостоятельное) портирование mod_proxy_fcgi в ветку 2.2?

1.6, Василий (??), 17:58, 29/01/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
# Новый модуль mod_proxy_fcgi, с поддержкой протокола FastCGI для создания обработчиков запросов, проходящих через mod_proxy; А как это работает? Есть ли смысл в использовании mod_proxy_fcgi?

2.7, Аноним (-), 18:06, 29/01/2010 [^] [^^] [^^^] [ответить]

+/–

>А как это работает? Есть ли смысл в использовании mod_proxy_fcgi?

Проксирует запросы к внешнему FastCGI серверу.

3.8, Василий (??), 18:17, 29/01/2010 [^] [^^] [^^^] [ответить]	+/–
>>А как это работает? Есть ли смысл в использовании mod_proxy_fcgi? > >Проксирует запросы к внешнему FastCGI серверу. А если по повторному запросу ответ на FastCGI сервере изменён, но не выдан клиенту из-за того, запрос запроксирован и не достиг FastCGI сервера? Хотя это наверно как-то можно регулировать?

4.25, uldus (ok), 22:29, 29/01/2010 [^] [^^] [^^^] [ответить]	+/–
>А если по повторному запросу ответ на FastCGI сервере изменён, но не >выдан клиенту из-за того, запрос запроксирован и не достиг FastCGI сервера? >Хотя это наверно как-то можно регулировать? Вы путайте проксирование и кеширование.

1.9, аноним (?), 18:46, 29/01/2010 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Давно пора. В 1.3 смысла нет уже несколько лет.

2.10, Василий (??), 19:02, 29/01/2010 [^] [^^] [^^^] [ответить]	+/–
>Давно пора. В 1.3 смысла нет уже несколько лет. RusApache дальше 1.3 ж вроде не пошёл. Автоопределение русских кодировок в 2.* как-нибудь делается? Или такой проблемы там нет?

3.12, ПринцЧорнойТьмы (?), 19:17, 29/01/2010 [^] [^^] [^^^] [ответить]

+4 +/–

> RusApache дальше 1.3 ж вроде не пошёл. Автоопределение русских кодировок в 2.* как-нибудь делается? Или такой проблемы там нет?

Facepalm.svg

Ага, и на сайтах сверху такую панельку со ссылками вешать: KOI-8 | WIN1251 | CP866 | ISO8859-5 | Транслит

4.21, KosmonavtMIPT (?), 21:38, 29/01/2010 [^] [^^] [^^^] [ответить]	+4 +/–
Разве нельзя сделать всё в UTF-8 и радоваться?

5.32, Hety (??), 19:14, 30/01/2010 [^] [^^] [^^^] [ответить]	+3 +/–
Хороший вопрос. UTF-8 - и без вариантов. Кому нужны костыли в виде кодировок?

3.14, аноним (?), 19:56, 29/01/2010 [^] [^^] [^^^] [ответить]	+4 +/–
> RusApache дальше 1.3 ж вроде не пошёл. И преогромнейшее ему за это спасибо!

2.33, Michael Shigorin (ok), 00:13, 31/01/2010 [^] [^^] [^^^] [ответить]	+/–
>Давно пора. В 1.3 смысла нет уже несколько лет. man free, man top и сопоставьте потребление памяти.

3.34, аноним (?), 10:21, 01/02/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Если у вас не хватает памяти и не нужны фичи apache 2.x, давно пора перейти на lighttpd. Apache 1.3 - ни рыба ни мясо, и жрет, что называется, по-апачевски, и никаких нужных фич не умеет.

4.37, Michael Shigorin (ok), 16:06, 08/02/2010 [^] [^^] [^^^] [ответить]

+/–

>Если у вас не хватает памяти и не нужны фичи apache 2.x,
>давно пора перейти на lighttpd.

Спасибо, я лучше пешком постою. Данное чудо в довольно взрослом возрасте чихало от файликов с плюсом в имени.

>Apache 1.3 - ни рыба ни мясо

Это UNIX webserver, а не студенческая попытка слепить рыбомясу в виде Apache 2.0 (одно изменение семантики времени реквеста с секунд в миллисекунды без изменения названия чего стоит, про безопасность молчу уже).

>и жрет, что называется, по-апачевски, и никаких нужных фич не умеет.

Надо же, пол-интернета мучалось от отсутствия фич, пока не пришёл аноним и не зарезал правду-матку.

apache-1.3 на пару с nginx -- очень даже работоспособная связка, каждый хорош в своём амплуа. И я, в отличие от Вас, судя по всему, на ём работаю.

4.38, tor (??), 17:58, 10/02/2010 [^] [^^] [^^^] [ответить]	+/–
Лучше сразу на nginx + php-fpm

1.15, mvalery (?), 20:09, 29/01/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Намекают, что надо переходить на Apache 2. Однако разработчики PHP не гарантируют стабильную работу PHP с Apache 2. И что делать? Ведь очень много сайтов бегут на платформе AMP - Apache+MySQL+PHP. Кстати, с MySQL тоже пока не всё ясно.

2.16, Василий (??), 20:24, 29/01/2010 [^] [^^] [^^^] [ответить]	+/–
>Намекают, что надо переходить на Apache 2. >Однако разработчики PHP не гарантируют стабильную работу PHP с Apache 2. >И что делать? Ведь очень много сайтов бегут на платформе AMP - >Apache+MySQL+PHP. >Кстати, с MySQL тоже пока не всё ясно. А какое отношение Mysql имеет непосредственно к апачу?

3.20, Аноним (-), 21:34, 29/01/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Ровно такое же, какое PHP к языкам программирования - иногда оказываются установлены в пределах одного жесткого диска и даже (sic!) одной песочницы.

2.22, Аноним (-), 21:52, 29/01/2010 [^] [^^] [^^^] [ответить]	+4 +/–
> Однако разработчики PHP не гарантируют стабильную работу PHP с Apache 2. Это, мягко говоря, очень устаревшая информация. На всякий, напомню: php4 тоже умер.

2.24, ПринцЧорнойТьмы (?), 22:20, 29/01/2010 [^] [^^] [^^^] [ответить]	+/–
> Однако разработчики PHP не гарантируют стабильную работу PHP с Apache 2. Насколько я знаю предупреждают о проблемах только с Apache 2.0.x и только под виндой.

3.27, cvsup (ok), 00:32, 30/01/2010 [^] [^^] [^^^] [ответить]	+/–
> Apache 1.3 was designed for Unix OS variants. [..] Apache 1.3 is not designed for these [non-Unix ] platforms. [..] Users of any non-Unix ports are strongly cautioned to move to Apache 2. http://www.apache.org/dist/httpd/Announcement1.3.html

1.18, Анонимный трус (?), 21:12, 29/01/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Интересно, а в OpenBSD что сделают? Они ведь до сих пор 1.3 используют.

2.19, Анонимусы (?), 21:28, 29/01/2010 [^] [^^] [^^^] [ответить]	+2 +/–
Напишут свой OpenApache с шахматами и поэтессами. У них это хорошо получается.

3.23, Полиграф Полиграфыч (?), 22:19, 29/01/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Они и так тот апач который у них стоит 1.3.29 считай что уже на половину переписали.

2.29, PereresusNeVlezaetBuggy (ok), 01:22, 30/01/2010 [^] [^^] [^^^] [ответить]	+/–
>Интересно, а в OpenBSD что сделают? >Они ведь до сих пор 1.3 используют. Apache HTTPD Server 1.3 там в базе, 2.2 доступен из портов. Кстати, 1.3 там действительно малость допилили «под себя», при этом патчи по безопасности и надёжности, разумеется, синкали.

2.31, idkfa (ok), 10:02, 30/01/2010 [^] [^^] [^^^] [ответить]	+/–
а зачем им что-то делать? разработку и поддержку их httpd никто не прекращал.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: