Опубликован (https://www.mail-archive.com/announce@httpd.apache.org/...) релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений (http://www.apache.org/dist/httpd/CHANGES_2.4.38) и устранены три уязвимости.Наиболее заметные изменения:
- Устранена уязвимость CVE-2018-17199 (https://www.mail-archive.com/announce@httpd.apache.org/...) в модуле mod_session, позволяющая продолжить обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie);
- Устранена DoS-уязвимость CVE-2018-17189 (https://www.mail-archive.com/announce@httpd.apache.org/...) в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов;
- Устранена DoS-уязвимость CVE-2019-0190 (https://www.mail-archive.com/announce@httpd.apache.org/...) в модуле mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 проблеме не подвержена). Проблема проявляется только при сборке с OpenSSL 1.1.1;
- Модуль mod_lua (https://httpd.apache.org/docs/2.4/mod/mod_lua.html), позволяющий интегрировать в httpd интерпретатор языка Lua,
переведён (https://lists.apache.org/thread.html/399036e2a44268f9650c59a...) в число стабильных и теперь может применяться на рабочих серверах (API не будет изменяться);
- В mod_negotiation обеспечено игнорирования регистра символов при разборе списка языков, заданных в диективе LanguagePriority (https://httpd.apache.org/docs/2.4/mod/mod_negotiation.html#l...), в соответствии с поведением AddLanguage и требованиями спецификации HTTP;
- В mod_session обеспечено декодирование атрибутов сеанса на самой ранней стадии обработки, а в mod_session_cookie реализовано отсеивание дублирующихся заголовков Set-Cookie;
- В mod_ssl налажено выставление переменной $HTTPS при работе в режиме "SSLEngine optional" и обеспечена корректная работа настройки "Require ssl" при использовании HTTP/2.
URL: https://www.mail-archive.com/announce@httpd.apache.org/...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50010