The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-сервера Apache 2.4.4

25.02.2013 15:36

Доступен корректирующий релиз http-сервера Apache 2.4.4 в котором устранено 2 уязвимости и представлено 59 исправлений. Исправленные уязвимости (CVE-2012-3499, CVE-2012-4558) помечены как неопасные и проявляются возможностью подстановки HTML-кода (XSS) в вывод модулей mod_info, mod_status, mod_imagemap, mod_ldap и mod_proxy_ftp, из-за отсутствия должного экранирования спецсимволов в имени хоста, а также через передачу специально оформленных параметров в управляющий интерфейс mod_proxy_balancer.

Из не связанных с безопасностью исправлений можно отметить:

  • В mod_ssl добавлена поддержка TLS-SRP (Secure Remote Password key exchange for TLS, RFC 5054). Для предотвращения атак типа "CRIME", по умолчанию отключена поддержка сжатия, значение SSLCompression теперь установлено в off;
  • В htpasswd и htdbm добавлена поддержка алгоритма bcrypt и обеспечена генерация случайного 42-битового salt. В качестве более безопасной альтернативы указания пароля с опцией "-b", добавлена возможность чтения пароля из стандартного ввода;
  • В mod_dir для опции FallbackResource добавлена поддержка значения 'disabled';
  • В mod_lua добавлены биндинги для доступа к БД mod_dbd/apr_dbd;
  • В mod_proxy обеспечено сохранение между перезапусками настроек, добавленных через интерфейс настройки балансировщика (balancer-manager);
  • В mod_status добавлен вывод информации когда последний раз использовался виртуальный хост;
  • В mod_proxy_http указание 0 в параметре LimitRequestBody теперь воспринимается как отсутствие ограничений;
  • В скрипте configure налажена обработка опций "--disable-FEATURE" для ряда возможностей;
  • В ab обеспечена поддержка TLS1.1/TLS1.2 в качестве аргумента опции "-f". Добавлена возможность указания таймаута для сокета (-s timeout);
  • В mod_auth_form добавлена поддержка парсинга выражений для директив AuthFormLoginRequiredLocation, AuthFormLoginSuccessLocation и AuthFormLogoutLocation;
  • В mod_rewrite прекращено слияние параметров RewriteBase вниз по директориям без указания опции 'RewriteOptions MergeBase';
  • Модули и rotatelogs переведены с apr_file_write() на apr_file_write_full() для избежания неполной записи данных;
  • В mod_proxy_ftp устранён крах при выполнении IPv4 запросов к хостам с AAAA-записями в DNS;
  • В mod_auth_form устранены проблемы с заполнением переменной окружения REMOTE_USER при выполнении подзапроса через mod_include;
  • В mod_header добавлена возможность вывода параметров нагрузки на сервер (loadavg) через указание переметров %l, %i, %b. В ядро httpd добавлена реализация функций ap_get_sload() и ap_get_loadavg();
  • Работа ErrorDocument обеспечена в том числе для запросов без указания заголовка Host;
  • В mod_proxy при слиянии значения PPR добавлена защита от объединения комбинации ".../" и "/...", приводящей в результате к пути "...//...";
  • Устранены ошибки и проблемы, приводящие к краху, в mod_proxy, htcacheclean, mod_slotmem_shm, mod_proxy_balancer, mod_dialup, httxt2dbm, mod_xml2enc, mod_cache_disk, mod_session_dbd, mod_ldap.


  1. Главная ссылка к новости (http://www.apache.org/dist/htt...)
  2. OpenNews: Корректирующий релиз http-сервера Apache 2.4.3
  3. OpenNews: Корректирующий релиз http-сервера Apache 2.4.2
  4. OpenNews: Релиз новой стабильной ветки http-сервера Apache 2.4
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/36215-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Xasd (ok), 17:34, 25/02/2013 [ответить]  
  • +1 +/
    Apache  HTTP Server -- уже умеет делать перенаправление внешних запросов на внутренний http-сервер (beckend) ---- через unix-domain-socket (а не через ip-адрес)?

    у кого-нибудь получалось?

     
     
  • 2.2, arka (?), 20:58, 25/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какое-то сомнительное занятие - ставить фронтом апач на той же машине перед каким-то другим http-сервером. А можно прояснить - какая хотя бы приблизительно архитектура реализуется?
     
     
  • 3.3, Sw00p aka Jerom (?), 23:17, 25/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    modsecurity пока никто не отменял так что - порой апач стоит и пока будет стоять впереди увы, ждём конца года пока модсек допилят в нджинксе. хотя бы минимальный функционал тупа детектить по регексам
     
  • 3.5, koqep (ok), 07:46, 26/02/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    а почему бы и нет, у меня стоит апач, а за ним Asterisk HTTP и Django но это конечно только для нашей не большой локалки
     
  • 3.6, Xasd (ok), 22:13, 27/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Какое-то сомнительное занятие

    на мой взгляд -- более сомнительное занятие -- подкллючать демоны между собой через ip-адрес 127.0.0.1 (вместо  UDS) .. к тому же я не могу прописать права на 127.0.0.1, а на socket-файл мог-бы :)

    > какая хотя бы приблизительно архитектура реализуется?

    Apache ---- как frontend
    CherryPy/Bottle (+плюшки) ---- как backend

    почему именно Apache, а не например Nginx или lighttpd? просто потомучто интересно как это сделать в Apache

     
     
  • 4.7, arka (?), 09:34, 28/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > на мой взгляд -- более сомнительное занятие -- подкллючать демоны между собой через ip-адрес

    Да я сомневался именно в апаче на фронте, а не в сокетах...

    Судя по https://issues.apache.org/bugzilla/show_bug.cgi?id=54101#c1 есть шанс увидеть только в будущих релизах, хотя закладывались на 2.4.3

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру