Выпущены три новых релиза HTTP сервера Apache: 2.2.8 (http://www.apache.org/dist/httpd/Announcement2.2.html), 2.0.63 (http://www.apache.org/dist/httpd/Announcement2.0.html) и 1.3.41 (http://www.apache.org/dist/httpd/Announcement1.3.html).

В Apache 1.3.41 исправлены (http://www.apache.org/dist/httpd/CHANGES_1.3.41) следующие проблемы связанные с безопасностью:

-  Возможность межсайтового скриптига (XSS) в mod_status и mod_imap
-  Ошибка в mod_proxy, которую можно использовать для совершения DoS атаки на платформах Windows и NetWare.

Также в 1.3.41 устранена недоработка, приводившая к появлению ошибок "Bad pid" в логе.

В Apache 2.0.63 (http://www.apache.org/dist/httpd/Announcement2.0.html) только устранена уязвимость связанная с возможностью межсайтового скриптига через модули mod_status и mod_imagemap.

Гораздо больше изменений (http://www.apache.org/dist/httpd/CHANGES_2.2.8) представлено в версии Apache 2.2.8. Кроме уже упоминавшихся XSS уязвимостей в mod_status и mod_imagemap, можно отметить исправление следующих проблем:

-  Уязвимость в mod_proxy_balancer, дающая злоумышленнику возможность подстановки HTML и JavaScript кода в контексте чужого сайта, на котором используется mod_proxy_balancer.
-  Возможность совершения DoS атаки через передачу системе управления модулем mod_proxy_balancer специально скомпонованного имени балансировщика.

Изменения в 2.2.8 не связанные с безопасностью:

- Реализована директива ProxyFtpDirCharset, позволяющая для определённого пути задать кодировку вывода содержимого проксируемой FTP директории (ранее всегда выдавалось в ISO-8859-1);
-  Во многих модулях добавлено явное указание кодировки при выводе данных, для устранения потенциальной возможности совершения XSS атаки на браузеры нарушающие в своей работе RFC2616;
-  В Event MPM добавлена возможность совместной работы с модулем mod_ssl;
-  В mod_rewrite добавлены две опции: NV (no vary) флаг в RewriteCond запрещающий выдачу заголовка Vary, и опция "B" (escape backreferences), предотвращающую раскодирование спец. символов (unescaping) в URL;

-  При помощи директивы "if" в mod_include отныне можно проверять доступность URL, например для скрытия линков на закрытые области сайта для пользователей не имеющих доступа;
-  В mod_substitute добавлен новый фильтр вывода (output filter), который позволяет фильтровать вывод в соответствии с заданной маской (поддерживаются регулярные выражения);
-  В mod_status появилась директива SeeRequestTail, определяющая  отображать содержимое первых или последних 63 символов запроса. Работает при включенном режиме ExtendedStatus;

- Исправлены ошибки в модулях winnt_mpm, mod_dav, mod_ssl, mod_ldap, mod_disk_cache, http_protocol, mod_proxy_ajp, mod_filter, mod_proxy_http, mod_autoindex, mod_charset_lite, mod_deflate и mod_proxy_ftp.

URL: http://www.apache.org/dist/httpd/Announcement2.2.html
Новость: http://www.opennet.me/opennews/art.shtml?num=13708