forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз http-сервера Apache 2.4.25"
Отправлено opennews, 24-Дек-16 15:15

Состоялся (http://www.mail-archive.com/announce@httpd.apache.org/m...) релиз HTTP-сервера Apache 2.4.25 (http://httpd.apache.org/), в котором представлено 64 изменения (http://www.apache.org/dist/httpd/CHANGES_2.4.25), 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сбокой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25.

Из изменений можно отметить:

-  Устранено 5 уязвимостей:

-  CVE-2016-0736 - mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle).  Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash);
-  CVE-2016-2161 - крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных;
-   CVE-2016-5387 -  уязвимость под кодовым названием Httpoxy,  позволяющая (https://www.opennet.ru/opennews/art.shtml?num=44809) совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy;
-   CVE-2016-8740 - уязвимость в реализации HTTP/2, позволяющая (https://www.opennet.ru/opennews/art.shtml?num=45627) осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;
-   CVE-2016-8743 - возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500;
-  В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности;
-  В mod_socache_memcache обеспечен вывод статистики  memcache через mod_status;
-  Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230;
-  В запросах к прокси добавлена возможность указания незакодированных символов ';' в запросе и заголовке "Location:";
-  Добавлена директива RegisterHttpMethod  для регистрации нестандартных методов  HTTP;
-  В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в  memcached;
-  В  mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных о состоянии в HTTP-ответах с кодом 103;
-  В  mod_http2 добавлена директива 'H2PushResource' для включения  ранней отправки ресурсов методом PUSH до начала обработки основного запроса;
-  В  mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах;
-  В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);
-  Обеспечен вывод ответа "408 Request Timeout" при при исчерпании таймаута в процессе чтения тела запроса;
-  В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через  TLS.

URL: http://www.mail-archive.com/announce@httpd.apache.org/m...
Новость: http://www.opennet.ru/opennews/art.shtml?num=45757

Исходное сообщение
"Релиз http-сервера Apache 2.4.25" Отправлено opennews, 24-Дек-16 15:15
Состоялся (http://www.mail-archive.com/announce@httpd.apache.org/m...) релиз HTTP-сервера Apache 2.4.25 (http://httpd.apache.org/), в котором представлено 64 изменения (http://www.apache.org/dist/httpd/CHANGES_2.4.25), 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сбокой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25. Из изменений можно отметить: - Устранено 5 уязвимостей: - CVE-2016-0736 - mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle). Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash); - CVE-2016-2161 - крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных; - CVE-2016-5387 - уязвимость под кодовым названием Httpoxy, позволяющая (https://www.opennet.ru/opennews/art.shtml?num=44809) совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy; - CVE-2016-8740 - уязвимость в реализации HTTP/2, позволяющая (https://www.opennet.ru/opennews/art.shtml?num=45627) осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти; - CVE-2016-8743 - возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500; - В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности; - В mod_socache_memcache обеспечен вывод статистики memcache через mod_status; - Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230; - В запросах к прокси добавлена возможность указания незакодированных символов ';' в запросе и заголовке "Location:"; - Добавлена директива RegisterHttpMethod для регистрации нестандартных методов HTTP; - В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в memcached; - В mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных о состоянии в HTTP-ответах с кодом 103; - В mod_http2 добавлена директива 'H2PushResource' для включения ранней отправки ресурсов методом PUSH до начала обработки основного запроса; - В mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах; - В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint); - Обеспечен вывод ответа "408 Request Timeout" при при исчерпании таймаута в процессе чтения тела запроса; - В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через TLS. URL: http://www.mail-archive.com/announce@httpd.apache.org/m... Новость: http://www.opennet.ru/opennews/art.shtml?num=45757

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Состоялся (http://www.mail-archive.com/announce@httpd.apache.org/msg00107.html) 
> релиз HTTP-сервера Apache 2.4.25 (http://httpd.apache.org/), в котором представлено 
> 64 изменения (http://www.apache.org/dist/httpd/CHANGES_2.4.25), 22 из которых связаны 
> с исправлениями в модуле mod_http2. Из за обнаружения проблем со сбокой 
> некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован 
> релиз 2.4.25.

> Из изменений можно отметить:

> -  Устранено 5 уязвимостей:

> -  CVE-2016-0736 - mod_session_crypto подвержен атакам, основанным на анализе добавочного 
> заполнения (padding oracle).  Защита реализована через аутентификацию сеансовых данных 
> и cookie при помощи MAC (SipHash);

> -  CVE-2016-2161 - крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти 
> при обработке специально оформленных клиентских данных; 
> -   CVE-2016-5387 -  уязвимость под кодовым названием Httpoxy,  
> позволяющая (https://www.opennet.ru/opennews/art.shtml?num=44809) совершить MITM-атаку 
> через манипуляцию с HTTP-заголовком Proxy;

> -   CVE-2016-8740 - уязвимость в реализации HTTP/2, позволяющая (https://www.opennet.ru/opennews/art.shtml?num=45627) 
> осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;

> -   CVE-2016-8743 - возможность проведения атак через разбиение заголовков и 
> отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки 
> теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного 
> заголовка выдаётся ошибка 500;

> -  В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости 
> до начала урезания пропускной способности;

> -  В mod_socache_memcache обеспечен вывод статистики  memcache через mod_status;

> -  Добавлена директива HttpProtocolOptions для управления применением различных опций 
> протокола, описанных в RFC 7230; 
> -  В запросах к прокси добавлена возможность указания незакодированных символов ';' 
> в запросе и заголовке "Location:";

> -  Добавлена директива RegisterHttpMethod  для регистрации нестандартных методов  HTTP; 
 
> -  В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей 
> в  memcached; 
> -  В  mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных 
> о состоянии в HTTP-ответах с кодом 103;

> -  В  mod_http2 добавлена директива 'H2PushResource' для включения  ранней 
> отправки ресурсов методом PUSH до начала обработки основного запроса; 
> -  В  mod_http2 добавлена директива H2CopyFiles для изменения метода обработки 
> файлов в ответах; 
> -  В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);

> -  Обеспечен вывод ответа "408 Request Timeout" при при исчерпании таймаута 
> в процессе чтения тела запроса;

> -  В утилите ab добавлена возможность указания параметров SNI для идентификации 
> проверяемого виртуального хоста при соединении через  TLS.

> URL: http://www.mail-archive.com/announce@httpd.apache.org/msg00107.html 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=45757

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру