Релиз http-сервера Apache 2.4.6

20.07.2013 22:14

Доступен релиз http-сервера Apache 2.4.6, в котором устранено 2 уязвимости и представлено 77 исправлений. Несмотря на то, что новая версия имеет корректирующий характер, в Apache 2.4.6 представлена достаточно большая порция улучшений. Выпуск Apache 2.4.5 был пропущен, так как в процессе формирования релиза было выявлено регрессивное изменение, для исправления которого по горячим следам выпущен Apache 2.4.6.

Из изменений можно отметить:

Поддержка проксирования и туннелирования websocket-запросов. Добавлен модуль mod_proxy_wstunnel;
Значительное обновление модуля mod_lua. Обеспечена возможность создания фильтров контента на языке Lua (подключение через LuaInputFilter/LuaOutputFilter). Добавлена директива LuaMapHandler для привязки URL к скриптам-обработчикам на языке Lua (маска URL может быть задана с использованием регулярных выражений). Добавлена директива LuaCodeCache для управления кэшированием кода Lua-скриптов в памяти. Добавлены новые функции r:htpassword(), r:mkdir(), r:mkrdir(), r:rmdir(), r:touch(), r:get_direntries(), r.date_parse_rfc(), обеспечен доступ к БД apr_dbd/mod_dbd;
Новая высокопроизводительная реализация кэширования в разделяемой памяти;
Включение в состав модуля mod_macro, предназначенного для упрощения управления настройками через использование макросов в файле конфигурации;
Серия исправлений в mod_cache и mod_proxy, направленных на более точное следование рекомендациям RFC 2616;
Добавление в mod_auth_basic режима поддельной аутентификации, включаемого через директиву AuthBasicFake, которая позволяет администратору задать отдельный логин и пароль для своих нужд;
В mod_proxy добавлены опции BalancerInherit и ProxyPassInherit для управления наследованием параметров виртуального хоста в балансировщиках и обработчиках соединений;
В утилиту rotatelogs добавлена поддержка опции "-n" для организации ротации с использованием фиксированного числа архивных лог-файлов;
В утилиту htpasswd добавлена опция "-v" для проверки паролей.

Что касается устранённых проблем с безопасностью, то первая уязвимость (CVE-2013-1896) связана с некорректной обработкой запросов на слияние в mod_dav и может привести к краху серверного процесса при отправке злоумышленником специально оформленных MERGE-запросов. Вторая проблема безопасности (CVE-2013-2249) затрагивает модуль mod_session_dbd и связана с ненадлежащей сменой идентификатора сессии при смене сессии.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/37468-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (33)

1.1, Вася_Петушкофф (?), 22:40, 20/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
Использовал Апач в основном на Opencart/Joomla/WP ну и на всяких самопальных вэбмордах к разным сервисам; перешел на nginx. Интересно, в каких местах без Апача не обойтись?

2.2, AlexAT (ok), 22:41, 20/07/2013 [^] [^^] [^^^] [ответить]	+1 +/–
На шаредхостингах, нэ? Еще - при работе с динамикой без специальной заточки под вебсерв. Еще там, где нужна тесная интеграция со сторонними средами, тот же WebDAV или даже Tomcat как примеры.

3.5, Аноним (-), 01:05, 21/07/2013 [^] [^^] [^^^] [ответить]

–7 +/–

> На шаредхостингах, нэ?

Искренне желаю им лютейшей смерти :).

> Еще - при работе с динамикой без специальной заточки под вебсерв.

А какая специальная заточка нужна под нжинкс?

> или даже Tomcat как примеры.

Tomcat такой сторонний для апача, конечно...

4.13, toogen (ok), 06:45, 21/07/2013 [^] [^^] [^^^] [ответить]

+1 +/–

> А какая специальная заточка нужна под нжинкс?

конвертация .htaccess-файлов как минимум

5.15, Аноним (-), 11:38, 21/07/2013 [^] [^^] [^^^] [ответить]	+/–
да ну? http://winginx.ru/htaccess http://www.anilcetin.com/convert-apache-htaccess-to-nginx/

6.16, AlexAT (ok), 12:40, 21/07/2013 [^] [^^] [^^^] [ответить]	+/–
> http://www.anilcetin.com/convert-apache-htaccess-to-nginx/ Будете каждому клиенту объяснять, как сконвертить, или будете по триггеру тащить настройки в конфиг?

6.30, toogen (ok), 03:38, 15/08/2013 [^] [^^] [^^^] [ответить]	+/–
> http://winginx.ru/htaccess > http://www.anilcetin.com/convert-apache-htaccess-to-nginx/ очень косячные, хотя и хорошие сервисы. допиливание напильником умопомрачает =)

4.14, AlexAT (ok), 08:59, 21/07/2013 [^] [^^] [^^^] [ответить]

+/–

>> Еще - при работе с динамикой без специальной заточки под вебсерв.

Event-модель нгинха как бы не особо расположена к "длинным" приложениям (CGI).

5.31, Аноним (-), 05:32, 15/08/2013 [^] [^^] [^^^] [ответить]

+/–

> Event-модель нгинха как бы не особо расположена к "длинным" приложениям (CGI).

CGI маздай. Совершенно дурной протокол эпохи царя гороха. Нормальный протокол - это фастцги, когда кто-то взялся за бошку и сделал это по человечески, а не как по первости с бодуна в голову пришло.

4.27, Fantomas (??), 19:54, 22/07/2013 [^] [^^] [^^^] [ответить]	–1 +/–
> Искренне желаю им лютейшей смерти :). И что не так в шаредхостингах? Отлично работают.

5.32, Аноним (-), 05:33, 15/08/2013 [^] [^^] [^^^] [ответить]

+/–

> Отлично работают.

Фантомас, где ваши очки и аэроплан?! Вот как-то так они и работают - фантомас в очках на аэроплане.

3.7, vitalif (ok), 01:48, 21/07/2013 [^] [^^] [^^^] [ответить]	–3 +/–
Я пока только одну вещь знаю, которая без апача не работает - это mod_dav_svn. Другое дело, что а) в жопу mod_dav_svn - svnserve быстрее б) в жопу svn - git-то лучше. И это - на шаредхостингах-то почему без апача не обойтись?

2.17, Аноним (-), 12:46, 21/07/2013 [^] [^^] [^^^] [ответить]	+3 +/–
Постановка вопроса звучит так будто апач что то плохое, и прям позарез надо обойтись без него.

1.3, jOKer (ok), 23:33, 20/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
>mod_lua Судя по тому что mod_wsgi "ис каропки" нет как нет, на луа сайтов куда больше чем на руби и питоне. Очаровательная логика, чо

2.4, Аноним (-), 00:15, 21/07/2013 [^] [^^] [^^^] [ответить]	+/–
>Судя по тому что mod_wsgi "ис каропки" нет как нет, на луа сайтов куда больше чем на руби и питоне. Очаровательная логика, чо Документацию к модулю (http://httpd.apache.org/docs/trunk/mod/mod_lua.html) слабо почитать? Этот модуль предназначен для расширения функционала сервера, а не написания веб-приложений.

3.9, jOKer (ok), 01:57, 21/07/2013 [^] [^^] [^^^] [ответить]	–2 +/–
Ога, и чем же это приведенный там хеллоу ворлд так существенно отличатся от cgi-шного скрипта на любом другом скриптовом ЯП? Тем что в поток луа пишет, а не иные прочие, да?

4.12, Аноним (-), 04:18, 21/07/2013 [^] [^^] [^^^] [ответить]	+/–
> Summary > This module allows the server to be extended with scripts written in the Lua programming language. The extension points (hooks) available with mod_lua include many of the hooks available to natively compiled Apache HTTP Server modules, such as mapping requests to files, generating dynamic responses, access control, authentication, and authorization

2.6, Аноним (-), 01:06, 21/07/2013 [^] [^^] [^^^] [ответить]	–1 +/–
> Судя по тому что mod_wsgi "ис каропки" нет как нет, И нжинкс на него забил. Бедные бидонисты, никто не хочет массово внедрять их кривульки.

3.8, jOKer (ok), 01:49, 21/07/2013 [^] [^^] [^^^] [ответить]	+/–
Толсто. На самом деле на продакшене отлично работает и связка nginx+gunicorn. Причем поднимается эта связка за пять минут. Но бесит сам факт отсутствия нативного интерфейса.

4.10, ArRnorets (?), 03:02, 21/07/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> Толсто. > На самом деле на продакшене отлично работает и связка nginx+gunicorn. Причем поднимается > эта связка за пять минут. Но бесит сам факт отсутствия нативного > интерфейса. Unicorn же!!! А вообще, что касается конкретно Python, связка Nginx + uwsgi прекрасно работает, так что питонисты и тут не в обиде.

3.18, бедный буратино (ok), 03:30, 22/07/2013 [^] [^^] [^^^] [ответить]	+/–
> И нжинкс на него забил. Бедные бидонисты, никто не хочет массово внедрять их кривульки. proxy_pass в коробке есть, и то хорошо. :)

1.19, slowpoke (?), 12:13, 22/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
чем apache лучше nginx?

2.20, AlexAT (ok), 12:14, 22/07/2013 [^] [^^] [^^^] [ответить]

–3 +/–

> чем apache лучше nginx?

1) модульностью
2) конфигурабельностью
3) числом разработчиков
4) универсальностью

nginx - узконишевая специфичная вещь, в основном для фронтендов хайлоудов. Встречаются и иные применения, встречаются извращения, но в целом - его назначение - именно проксировать трафик и отдавать статику.

3.21, slowpoke (?), 12:59, 22/07/2013 [^] [^^] [^^^] [ответить]	–1 +/–
почему статику? у nginx есть fastcgi (жаль что чистого cgi нету) так что еще нужно?

4.22, AlexAT (ok), 13:01, 22/07/2013 [^] [^^] [^^^] [ответить]	+/–
Костыль это... Даже fcgi способен внести достаточно длинный период ожидания в работу event-driven движка, который к таким фокусам не расположен. В PHP для event-driven движков сделали FPM, но мир на PHP не заканчивается.

5.24, slowpoke (?), 13:04, 22/07/2013 [^] [^^] [^^^] [ответить]	–1 +/–
в чем костыль? в том что у apache это libphp а тут через сокет идет общение с FPM или spawn php ? и что это сильно медленней? тесты есть какие то на этот счет?

6.25, AlexAT (ok), 13:15, 22/07/2013 [^] [^^] [^^^] [ответить]

+1 +/–

> в чем костыль? в том что у apache это libphp а тут
> через сокет идет общение с FPM или spawn php ? и
> что это сильно медленней? тесты есть какие то на этот счет?

Тестов 2.4 mpm_event против нгинха (если оба завести например с FPM) пока не видел. У меня в практике используется и тот, и другой - нгинх как фронт, апач как сервер приложений. Надо как-нибудь собраться с мыслями и потестировать. В нашем случае разницы не особо - ибо основная нагрузка ложится на приложение, а не на обертку. У апача число разработчиков на порядки большее, поэтому выбираем апач как ядро.

Насчет костыля - кроме PHP/FPM/FCGI есть еще просто CGI - и вот их-то на нгинхе нормально уже не завести. Насчет mod_php и FPM - связка nginx<->FPM - лишний уровень отказа и конфигурирования. Не критично, но забывать про это не следует.

7.26, Аноним (-), 13:24, 22/07/2013 [^] [^^] [^^^] [ответить]	+/–
>> У апача число разработчиков на порядки большее, поэтому выбираем апач как ядро. Число писателей костылей/хаков умножилось даже те что с времен netscape

5.33, Аноним (-), 05:35, 15/08/2013 [^] [^^] [^^^] [ответить]	+/–
> Костыль это... Даже fcgi способен внести достаточно длинный период ожидания И что там в машине состояний, телепающейся между обслуживанием сокетов ожидать то будет? Оно просто перекидывает данные по мене готовности. Чем и замечательно.

3.23, slowpoke (?), 13:02, 22/07/2013 [^] [^^] [^^^] [ответить]	–1 +/–
просто когда то я юзал apache да еще и как cgi, последние лет 5 я юзаю nginx как fastcgi и по конфигурабельности он мне больше нравится, но может я что то упускаю?

3.28, Вонни (?), 20:17, 22/07/2013 [^] [^^] [^^^] [ответить]	–1 +/–
>> 2) конфигурабельностью >> 4) универсальностью Ути пути ты наш путин

2.29, ra (??), 01:58, 23/07/2013 [^] [^^] [^^^] [ответить]	+/–
что такого умеет nginx чего не умеет apache? только не надо в пример приводить ржавые 486 на которых nginx якобы лучше работает.

3.34, Аноним (-), 05:37, 15/08/2013 [^] [^^] [^^^] [ответить]

+/–

> что такого умеет nginx чего не умеет apache?

Нормально работать. Даже на копеечных VPS/виртуалках/прочих облаках за $5/mo. Апачу с префорком это в принципе не грозит, а другие бэкэнды экспериментальные и являют собой запрыг по граблям.

Да и весьма мощную машину с апачем малейшая глупая атака HTTP флудом, которую может даже юзер нетбука на GPRS произвести - валит апача с префорком наповал. Так что почему-то все сайты которые подверглись подобным вещам очень оперативно начинают казать фронтэндом нжинкс, если сайт хоть какие-то копейки приносил. Потому что сайт стоящий колом от деятельности буквально одного нетбука на хилом канале - это совсем не прикольно.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: