Вышел релиз http-сервера Apache 2.2.16 в котором устранено 2 незначительные уязвимости и внесено 8 исправлений. Первая уязвимость связана с ошибкой в вычислении таймаутов в модулях mod_proxy_ajp, mod_proxy_http и mod_reqtimeout, что может привести, при использовании Apache в роли прокси на платформах Windows, Netware и OS/2, к возвращению данных от предыдущего запроса другому пользователю. Вторая уязвимость связана с работой модулей mod_dav и mod_cache, и проявляется в виде краха процесса-обработчика при поступлении запроса со специально оформленным некорректным URI.
Из не связанных с безопасностью исправлений можно отметить:
Поддержка обработки в mod_filter запросов с кодом возврата, отличным от 200;
В mod_rewrite добавлена возможность установки переменной окружения без задания явного значения;
В mod_dir добавлена поддержка директивы FallbackResource, позволяющей администратору определить действие в ситуации, когда URL не сопоставлен с файлом и не подпадает под действие ErrorDocument и mod_rewrite;
Исправление проблем с отсутствием кеширования параметров LDAP, при указании mod_ldap директив в блоке VirtualHost;
Исправлен крах при запуске конфигурации с mod_ssl, в которой один сертификат для прокси-клиента указан для нескольких виртуальных хостов;
В mod_proxy_http добавлено отображение номера порта удаленного сервера в различных сообщениях, сохраняемых в логе;
В утилите apxs при использовании опций "-A" и "-a" добавлено игнорирование пробелов в различных директивах httpd.conf.
|