The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В HTTP-сервере Apache 2.4.23 устранена уязвимость

06.07.2016 23:56

Доступен релиз HTTP-сервера Apache 2.4.23, в котором представлено 36 изменений, 17 из которых связаны с исправлениями в модуле mod_http2. Выпуски 2.4.21 и 2.4.22 были пропущены, следом за 2.4.20 сразу опубликован релиз 2.4.23.

В новом выпуске устранена уязвимость (CVE-2016-4979), которая позволяет обойти аутентификацию на основе клиентских сертификатов X509. Проблема проявляется только в системах, использующих HTTP/2, и позволяет получить доступ к ресурсам, без предоставления необходимого для аутентификации сертификата. Уязвимы версии httpd c 2.4.18 по 2.4.20 в которых активирован модуль mod_http2.

Из изменений, не связанных с безопасностью и исправлением ошибок, можно отметить реализацию в mod_include конструкции "<!--#comment текст комментария>" для определения комментариев в файлах SSI, а также добавление новой директивы CGIVar, при помощи которой можно определить правило заполнения переменной окружения REQUEST_URI (original-uri для изначально запрошенного URI и current-uri для текущего URI).

  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Увидел свет HTTP-сервер Apache 2.4.20
  3. OpenNews: Доступен http-сервер Apache 2.4.18
  4. OpenNews: Доступен http-сервер Apache 2.4.17 с поддержкой HTTP/2
  5. OpenNews: Релиз новой стабильной ветки http-сервера Apache 2.4
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44743-httpd
Ключевые слова: httpd, apache, http
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:36, 07/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Чот не понял я: где "ниюзаюапачващедавно, NGIИX рулит" :)
     
     
  • 2.2, th3m3 (ok), 01:29, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ок. Кто-то всё ещё юзает apache?
     
     
  • 3.3, Аноним999 (ok), 02:22, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    С апреля 1996 и до настоящего времени является самым популярным HTTP-сервером в Интернете. Статистика Netcraft показывает следующие данные об использовании Apache:

    в августе 2007 года он работал на 51 % всех веб-серверов
    в мае 2009 года — на 46 %
    в январе 2011 года — на 59 %, т.е. более чем на 160 млн сайтов
    в январе 2016 года — на 33.56 %, т.е. более чем на 304 млн сайтов.

    (Цитата из Википедии)

     
     
  • 4.15, th3m3 (ok), 11:10, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Отчётливо видно, что все переходят на nginx.
     
     
  • 5.17, angra (ok), 11:52, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Пока отчетливо видно, что предметом ты владеешь на уровне школоло, только вчера узнавшего из какой-то статьи, что nginx "круче" apache, а сегодня несущего этот "свет знаний" всем вокруг.
     
     
  • 6.22, th3m3 (ok), 14:51, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Проиграл с тебя.
     
     
  • 7.32, Аноним (-), 22:33, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ах у тебя ещё и с русским плохо. Какой разносторонний ребёнок..

     
  • 5.20, Snaut (ok), 13:31, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Отчётливо видно, что все переходят на nginx.

    обычно nginx ставят впереди apache. внутри организации более-менее с нагрузкой по сайтам - nginx стоит как просто прокси

     
     
  • 6.23, th3m3 (ok), 14:53, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Обычно ставят только nginx. Извращенцы ставят ещё и apache. Есть частные случаи, когда apache необходим, по каким либо модулям специфичным. Но в большинстве случаев, он нафиг ненужен.
     
     
  • 7.29, Аноним (-), 18:46, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть частный случай, где возможности установить nginx нет в принципе. Так что апач тут волей-неволей...
     
  • 7.33, Аноним (-), 22:37, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Кинь ссылочку на обычную статистику.
     
  • 7.41, angra (ok), 04:51, 08/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, mod_php это такой очень специфичный случай, почти нигде не используется :)
     
  • 3.4, Аноним (-), 02:32, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    IspManager, cPanel, DirectAdmin, Plesk использует этот ваш Legacy Apache и не желает его менять.
     
     
  • 4.14, th3m3 (ok), 11:10, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это всё прерогатива всяких хостингов, которые уже давно не нужны. Сервера копейки стоят.
     
     
  • 5.24, Мишка большая шишка (?), 15:08, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если хостинги не нужны, то ты дурашка
     
     
  • 6.26, th3m3 (ok), 17:35, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем нужны хостинги, когда можно VPS недорого взять? А некоторых случаях, даже дешевле, чем хостинг выйдет.
     
     
  • 7.30, Аноним (-), 19:01, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем нужны хостинги, когда можно VPS недорого взять? А некоторых случаях,
    > даже дешевле, чем хостинг выйдет.

    Получите jail без возможности тюнить ядро и тд и тп. Плавали, знаем.


     
     
  • 8.31, Аноним (-), 21:46, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А на хостинге значит ты можешь ядро тюнить Ну-ну... текст свёрнут, показать
     
  • 8.37, th3m3 (ok), 23:16, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не всегда Очень многие разрешают загружать свой образ Да и тем более, нефига с... текст свёрнут, показать
     
  • 7.34, Аноним (-), 22:38, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хо́стинг (англ. hosting) — услуга по предоставлению ресурсов для размещения информации на сервере, постоянно находящемся в сети (обычно Интернет).

    Для самых маленьких - VPS это тоже хостинг.

     
     
  • 8.42, th3m3 (ok), 01:38, 11/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не придирайся к словам Всем и так понятно, что такое хостинг и что такое виртуа... текст свёрнут, показать
     
     
  • 9.43, th3m3 (ok), 01:39, 11/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И это не одно и тоже ... текст свёрнут, показать
     
  • 5.27, _ (??), 17:44, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Это всё прерогатива всяких хостингов, которые уже давно не нужны.

    Оно то так конечно, да только вот из 360 млн. сайтов - 320 - это именно они :-/
    >Сервера копейки стоят.

    А время админов дорого.  А если ты самО ... то это full time job, но не оплачиваемый.

     
     
  • 6.36, th3m3 (ok), 23:15, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Быть DevOPS сейчас модно ;)
     
  • 3.9, Аноним (-), 08:09, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А nginx и не юзают. На языке его конфигураций программы пишут. Я вобще не понимаю, почему он до сих пор не компилятор, там же ни одной переменной, не перекрытой из конфигурации уже не осталось.
     
     
  • 4.13, Аноним (-), 11:02, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Изначально компилятор, т.к. компилировал настройки.
     

  • 1.5, Аноним (5), 07:15, 07/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А в чём проблема его использовать дальше?
    Работает себе и не парит мозг.
     
     
  • 2.11, Нанобот (ok), 09:13, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Работает себе и не парит мозг.

    для некоторых это как раз и является проблемой

     
  • 2.40, Аноним (-), 00:30, 08/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Работает себе и не парит мозг

    Не видел, как бухгалтерши каждый месяц мебель в кабинете переставляют? Вот и админы такие бывают.

     

  • 1.6, Какаянахренразница (ok), 07:42, 07/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Выпуски 2.4.21 и 2.4.22 были пропущены

    В чём тайный смысл сего действа?

     
     
  • 2.10, A.Stahl (ok), 08:57, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +10 +/
    >В чём тайный смысл сего действа?

    Какаянахренразница?

     
     
  • 3.12, Какаянахренразница (ok), 09:15, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Вопрос снят.
     
     
  • 4.28, _ (??), 17:47, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чорд! Это даже красиво! :-D
     
  • 2.16, Аноним (-), 11:42, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В оригинале новости написано "Versions 2.4.22 and 2.4.21 were not released". В списке изменений http://www.apache.org/dist/httpd/CHANGES_2.4 эти версии есть.

    Не нашёл, как посмотреть в репозиторий, но есть теория, что хотели выпустить .21, в ней почти сразу обнаружили уязвимость, сделали (в репозитории) .22, там тоже сразу обнаружили уязвимости и сделали .23. Выпускать в форме тарболов первые две смысла не нашли. Но это лишь догадки

     
     
  • 3.18, Andrey Mitrofanov (?), 12:07, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Не нашёл, как посмотреть в репозиторий, но есть теория

    Большой Учёный! Уважуха. >,<

     
     
  • 4.19, Аноним (-), 13:21, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Может, поделишься ссылкой на репозиторий, шутник? :)

     
     
  • 5.25, Аноним84701 (?), 16:18, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гм, ну, вроде как смотрим в в меню:
    > "Get Involved
    >
    > Mailing Lists
    > Bug Reports
    > Developer Info <- нам сюда"

    http://httpd.apache.org/dev/
    > Source Repository Information
    > Apache Development Notes about using SVN and maintaining the Apache site.
    > A web-based view of the SVN history of the httpd development effort

    http://svn.apache.org/viewvc/httpd/
    Та-да!

     
     
  • 6.35, Аноним (-), 22:43, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Миф бастерс на опеннет.ру.
     
  • 6.38, Аноним (-), 23:51, 07/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Та-да!

    Блин, старею :( И теория не оправдалась, релизы готовились в спокойной обстановке... Не знаю, зачем сделали .23 сразу после .20...

     
     
  • 7.39, Аноним (-), 00:09, 08/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Надеюсь, что мне пора спать, потому что, судя по спискам рассылки, они ГОЛОСОВАНИЕМ решают, релизить ту или иную версию или нет! Проголосовали против релизов .21 и .22.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру