Релиз http-сервера Apache 2.4.9
Опубликовано 17 Март 2014 08:39:11
Доступен релиз http-сервера Apache 2.4.9, в котором представлено 35 изменений. Выпуск 2.4.8 был пропущен из-за исправления в последний момент проблемы в mod_ssl, проявляющейся в виде краха при выполнении вызова SSL_get_certificate в случае использования некоторых устаревших версий OpenSSL, а также исправления ошибки в mod_lua, приводящей к некорректной обработке LuaMapHandler при определённом стечении обстоятельств.
Источник: http://www.opennet.ru/opennews/art.shtml?num=39327
По сравнению с выпуском 2.4.7 в новой версии устранено две уявзвимости:
- CVE-2014-0098 - возможность инициирования краха mod_log_config при попытке сохранения в лог урезанных Cookie, в которых указано только имя и пропущено значение (теперь в лог сохраняются только пары cookie=value).
- CVE-2013-6438 - возможность вызова отказа в обслуживании при обработке модулем mod_dav специально оформленных запросов "DAV WRITE" из-за неверного расчёта размера данных в условиях обрезания лидирующих пробелов.
Наиболее заметные улучшения:
- В директивы LocationMatch, DirectoryMatch, FilesMatch и ProxyMatch добавлена поддержка именованных групп и обратных ссылок (backreference) в регулярных выражениях (для работы требуется сборка со свежей версией PCRE);
- В mod_rewrite в директиве RewriteOptions появилась поддержка опций InheritDown, InheritDownBefore и IgnoreInherit для организации передачи правил RewriteRules из родительской области (scope) в дочернюю без явной настройки каждой дочерней области. Добавлена поддержка переменной %{CONN_REMOTE_ADDR}, вариант %{REMOTE_ADDR} с адресом инициатора соединения (без подстановок адреса клиента через mod_remoteip);
- В mod_proxy добавлена поддержка использования unix domain sockets в качестве точки для взаимодействия с бэкендом. Прекращена поддержка недокументированного синтаксиса "Proxy ~ wildcard-url" который эквивалентен "ProxyMatch wildcard-url";
- В mod_dir добавлена директива DirectoryCheckHandler для обеспечения пропуска выполнения обработчика в случае если он уже был установлен. Отключен поиск DirectoryIndex и DirectorySlash для URL, уже переписанных в mod_rewrite;
- В поддержку HTTP/1.1 внесены связанные с обработкой конфликтов TE/CL исправления, рекомендованные в документе draft-ietf-httpbis-p1-messaging-23;
- В mod_ssl отключено выполнение сравнения параметров SNI и заголовка Host в случае запроса прокси. Для директив SSLCertificateFile и SSLCertificateKeyFile прекращена зависимость от жестко заданных в коде типов алгоритмов. Объявлена устаревшей поддержка директивы SSLCertificateChainFile. Добавлена директива SSLOpenSSLConfCmd для использования команд конфигурации OpenSSL;
- Устранена проблема с длительной задержкой при использовании модели prefork и выполнения перезапуска в режиме graceful;
- Для всех версий старше FreeBSD 5 отключен по умолчанию маппинг в IPv4 для ожидающих соединение сокетов (ранее указанная поддержка была отключена только для FreeBSD 5);
- В mod_remoteip обеспечено корректное заполнение поля proxy_ips;
- В mod_lua добавлена возможность возврата результатов запроса из БД в форме хэша (row-name/value) вместо массива (row-number/value), обновлена реализация r:setcookie();
- Если невозможно декодировать сессию, то mod_session теперь всегда ведёт себя как в случае если сессии вообще нет. Устранены проблемы при интерпретации директив SessionInclude и SessionExclude;
- В mod_proxy_fcgi в качестве таймаута задействовано значение apr_socket_timeout_get вместо жестко определённого таймаута в 30 секунд;
- Для модулей mod_authz_user, mod_authz_host, mod_authz_groupfile, mod_authz_dbm, mod_authz_dbd и mod_authnz_ldap добавлена поддержка парсера выражений для содержимого директив.
Источник: http://www.opennet.ru/opennews/art.shtml?num=39327
|
0 | Tweet | Нравится |
|