Релиз http-сервера Apache 2.2.21

13.09.2011 10:03

Доступен корректирующий релиз http-сервера Apache 2.2.21 в котором устранена одна уязвимость и исправлено 8 ошибок. Исправленная проблема безопасности связана с особенностью обработки неподдерживаемых HTTP-методов в модулей mod_proxy_ajp, что может привести к DoS-атаке в конфигурациях, использующих mod_proxy_ajp в сочетании с mod_proxy_balancer.

Некоторые изменения:

Исправление регрессивного изменения, внесенного при устранении DoS-уязвимости в выпуске 2.2.20;
В mod_filter, вместо отбрасывания заголовка Accept-Ranges в ситуации запроса фильтра с наличием AP_FILTER_PROTO_NO_BYTERANGE, его значение теперь устанавливается в "none";
В mod_dav_fs устранен крах в случае, когда невозможно загрузить apr DBM-драйвер;
В mod_rewrite добавлена проверка корректности каждого внутреннего (int:) RewriteMap, даже если отключен RewriteEngine, что позволяет избежать краха при ссылках на несуществующий "int: map" в процессе работы;
Возможность указания в директиве MaxRanges значений none|unlimited|default и установки 'Accept-Ranges: none' в ситуации, когда игнорируется заголовок Ranges при указании "MaxRanges none".

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/31736-http

Ключевые слова: http, apache

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Анонимчик (?), 10:25, 13/09/2011 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Та самая? Которая апач клала вместе с сервером? Жаль. А то в логи глянеш какой-то хрен на ssh ломится из буржундии (самые упёртые арабы). Ответный скан показывает наличие апача (как правило). Фигак по нему скриптом. И тишина.

2.2, Аноним (-), 10:49, 13/09/2011 [^] [^^] [^^^] [ответить]	–2 +/–
Почему бы не перевесить ssh на другой порт? Никто и ломиться не будет.

3.4, анон (?), 11:26, 13/09/2011 [^] [^^] [^^^] [ответить]	–2 +/–
Лень в клиенте каждый раз другой порт указывать.

4.5, jedie (?), 12:11, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
открой для себя .ssh/config

5.6, jedie (?), 12:11, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
> открой для себя .ssh/config а если не открывается )) нужно создать.

6.7, Touch (??), 12:45, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
Угу а если для нескольких десятков хостов ещё веселее создаётся, правда можно... большой текст свёрнут, показать

7.9, Alexander (??), 13:31, 13/09/2011 [^] [^^] [^^^] [ответить]	–1 +/–
откройте для себя denyhosts ;-)

8.15, cmp (ok), 17:11, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
мой ssh ломают преимущественно из кореи 85 , думал забанить ее, но неохота ра... текст свёрнут, показать

9.17, AlexAT (ok), 17:14, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
Откройте для себя IPSet, и вместо 40 правил останется 1 ... текст свёрнут, показать

10.18, cmp (ok), 17:56, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
модем с бизибоксом таким премудростям не обучен, зато логи на удаленную машину п... текст свёрнут, показать

11.22, XoRe (ok), 21:33, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
Может на одном модеме поменять ssh порт ... текст свёрнут, показать

11.24, Аноним (-), 22:34, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
А чего тут премудрого Достаточно более-менее свежего ведра ... текст свёрнут, показать

12.27, cmp (ok), 07:08, 14/09/2011 [^] [^^] [^^^] [ответить]	+/–
да в том и дело, нету свежего, прошивка 10года, а ведро 03 Глупости, убегать -... текст свёрнут, показать

13.28, AlexAT (ok), 09:52, 14/09/2011 [^] [^^] [^^^] [ответить]	+/–
Отключайте файрвол, не бегите от проблем ... текст свёрнут, показать

14.29, cmp (ok), 16:25, 14/09/2011 [^] [^^] [^^^] [ответить]	+/–
необходимость и достаточность... текст свёрнут, показать

5.20, szh (ok), 20:04, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
> открой для себя .ssh/config a лучше alias в .bashrc

2.3, WhereWolf (?), 11:18, 13/09/2011 [^] [^^] [^^^] [ответить]	–1 +/–
Порносайт админишь? :)

2.13, Аноним (-), 15:22, 13/09/2011 [^] [^^] [^^^] [ответить]	+6 +/–
> Жаль. А то в логи глянеш какой-то хрен на ssh ломится из А мне какой-то му... в аську наспамил. С рекламой своего г-носайта с подделками часов. Ну я ему и повысил посещаемость, как он и хотел.

1.10, AlexAT (ok), 13:58, 13/09/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вперед паровоза? На сайте httpd.apache.org - тишина.

2.11, AlexAT (ok), 14:18, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
Нет, конечно чейнджлоги есть, и файлы доступны - но раз релиз не анонсирован... вполне может быть отзыв - не торопитесь.

3.12, Andrey Mitrofanov (?), 14:48, 13/09/2011 [^] [^^] [^^^] [ответить]

–1 +/–

>вполне может быть отзыв

Да, нееее... Сделают Фикс ошибки от исправления регрессивного изменения при устранении уязвимости, дадут ему ещё один +1 номер. Как обычно, то есть. Нет? $)

> - не торопитесь.

Куда? А! Пойду nginx пересоберу:

    *) Изменение: теперь, если суммарный размер всех диапазонов больше
       размера исходного ответа, то nginx возвращает только исходный ответ,
       не обрабатывая диапазоны.

*) Добавление: директива max_ranges.

4.14, Аноним (-), 15:24, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
> Куда? А! Пойду nginx пересоберу: Так ему вроде и без этого было неплохо? Хотя хуже от пересборки разумеется не станет :)

4.16, AlexAT (ok), 17:13, 13/09/2011 [^] [^^] [^^^] [ответить]

+1 +/–

> Куда? А! Пойду nginx пересоберу:
>     *) Изменение: теперь, если суммарный размер всех диапазонов
> больше
>        размера исходного ответа, то nginx
> возвращает только исходный ответ,
>        не обрабатывая диапазоны.

Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...

5.19, Аноним (-), 18:35, 13/09/2011 [^] [^^] [^^^] [ответить]

+/–

> Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...

Потому что его от этого не клинило столь жестоко как апача ;). Во всяком случае, я каких-то внятных проблем с потреблением ресурсов нжинксом создать не смог. Хотя укрепление сервака лишним не бывает.

6.26, AlexAT (ok), 00:21, 14/09/2011 [^] [^^] [^^^] [ответить]	+/–
Да легко. Заставляем сервак отдать 100500 копий одного мегабайтного файла одному клиенту. Повторяем это для 10-15 клиентов. нгинх не вклинит, а вот канал связи...

5.23, XoRe (ok), 21:37, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
>> Куда? А! Пойду nginx пересоберу: >> *) Изменение: теперь, если суммарный размер всех диапазонов >> больше >> размера исходного ответа, то nginx >> возвращает только исходный ответ, >> не обрабатывая диапазоны. > Хы. Т.е. nginx тоже был подвержен, просто никто не заметил... nginx'у пофиг. Но он передавал запрос дальше к apache, который и загибался. Теперь можно отсеивать попытки ddos.

3.21, Анонимусбсдун321 (?), 21:33, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
Они еще в рассылку anounce забили писать - про .20 тоже не писали не пишут ничего про релизы в итоге про новости узнаю с лора непорядок блин

4.25, Аноним (-), 22:36, 13/09/2011 [^] [^^] [^^^] [ответить]	+/–
> в итоге про новости узнаю с лора > непорядок блин ЛОР - это официальный сайт Apache Foundation. Они так прекрасно подходят друг к другу!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: