forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз http-сервера Apache 2.4.38 с объявлением стабильным мо..."
Отправлено opennews, 23-Янв-19 09:24

Опубликован (https://www.mail-archive.com/announce@httpd.apache.org/...) релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений (http://www.apache.org/dist/httpd/CHANGES_2.4.38) и устранены три уязвимости.
Наиболее заметные изменения:

-  Устранена уязвимость CVE-2018-17199 (https://www.mail-archive.com/announce@httpd.apache.org/...) в модуле mod_session, позволяющая продолжить  обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie);
-  Устранена DoS-уязвимость CVE-2018-17189 (https://www.mail-archive.com/announce@httpd.apache.org/...) в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов;
-  Устранена DoS-уязвимость CVE-2019-0190 (https://www.mail-archive.com/announce@httpd.apache.org/...) в модуле     mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 проблеме не подвержена). Проблема проявляется только при сборке с  OpenSSL 1.1.1;

-  Модуль mod_lua (https://httpd.apache.org/docs/2.4/mod/mod_lua.html), позволяющий интегрировать в httpd интерпретатор языка Lua,
переведён (https://lists.apache.org/thread.html/399036e2a44268f9650c59a...) в число стабильных и теперь может применяться на рабочих серверах (API не будет изменяться);
-  В mod_negotiation обеспечено игнорирования регистра символов при разборе списка языков, заданных в диективе LanguagePriority (https://httpd.apache.org/docs/2.4/mod/mod_negotiation.html#l...), в соответствии с поведением AddLanguage и требованиями спецификации HTTP;

-  В mod_session обеспечено декодирование атрибутов сеанса на самой ранней стадии обработки, а в mod_session_cookie реализовано отсеивание дублирующихся заголовков Set-Cookie;

-  В mod_ssl налажено выставление переменной $HTTPS при работе в режиме  "SSLEngine optional" и обеспечена корректная работа настройки "Require ssl" при использовании HTTP/2.


URL: https://www.mail-archive.com/announce@httpd.apache.org/...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50010

Исходное сообщение
"Релиз http-сервера Apache 2.4.38 с объявлением стабильным мо..." Отправлено opennews, 23-Янв-19 09:24
Опубликован (https://www.mail-archive.com/announce@httpd.apache.org/...) релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений (http://www.apache.org/dist/httpd/CHANGES_2.4.38) и устранены три уязвимости. Наиболее заметные изменения: - Устранена уязвимость CVE-2018-17199 (https://www.mail-archive.com/announce@httpd.apache.org/...) в модуле mod_session, позволяющая продолжить обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie); - Устранена DoS-уязвимость CVE-2018-17189 (https://www.mail-archive.com/announce@httpd.apache.org/...) в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов; - Устранена DoS-уязвимость CVE-2019-0190 (https://www.mail-archive.com/announce@httpd.apache.org/...) в модуле mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 проблеме не подвержена). Проблема проявляется только при сборке с OpenSSL 1.1.1; - Модуль mod_lua (https://httpd.apache.org/docs/2.4/mod/mod_lua.html), позволяющий интегрировать в httpd интерпретатор языка Lua, переведён (https://lists.apache.org/thread.html/399036e2a44268f9650c59a...) в число стабильных и теперь может применяться на рабочих серверах (API не будет изменяться); - В mod_negotiation обеспечено игнорирования регистра символов при разборе списка языков, заданных в диективе LanguagePriority (https://httpd.apache.org/docs/2.4/mod/mod_negotiation.html#l...), в соответствии с поведением AddLanguage и требованиями спецификации HTTP; - В mod_session обеспечено декодирование атрибутов сеанса на самой ранней стадии обработки, а в mod_session_cookie реализовано отсеивание дублирующихся заголовков Set-Cookie; - В mod_ssl налажено выставление переменной $HTTPS при работе в режиме "SSLEngine optional" и обеспечена корректная работа настройки "Require ssl" при использовании HTTP/2. URL: https://www.mail-archive.com/announce@httpd.apache.org/... Новость: https://www.opennet.ru/opennews/art.shtml?num=50010

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Опубликован (https://www.mail-archive.com/announce@httpd.apache.org/msg00137.html) 
> релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений (http://www.apache.org/dist/httpd/CHANGES_2.4.38) 
> и устранены три уязвимости.

> Наиболее заметные изменения:

> -  Устранена уязвимость CVE-2018-17199 (https://www.mail-archive.com/announce@httpd.apache.org/msg00135.html) 
> в модуле mod_session, позволяющая продолжить  обработку сессионных Cookie даже после 
> истечения времени их жизни (например, уязвимость можно использовать для повторного входа 
> с использованием перехваченной когда-то устаревшей Cookie);

> -  Устранена DoS-уязвимость CVE-2018-17189 (https://www.mail-archive.com/announce@httpd.apache.org/msg00134.html) 
> в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита 
> на число соединений через отправку на сервер большого числа очень медленно 
> передаваемых больших запросов;

> -  Устранена DoS-уязвимость CVE-2019-0190 (https://www.mail-archive.com/announce@httpd.apache.org/msg00136.html) 
> в модуле     mod_ssl, позволяющая заблокировать работу, вызвав 
> бесконечное зацикливание через отправку специально оформленного запроса на повторное 
> согласование параметров TLS-соединения (версия TLS 1.3 проблеме не подвержена). Проблема 
> проявляется только при сборке с  OpenSSL 1.1.1;

> -  Модуль mod_lua (https://httpd.apache.org/docs/2.4/mod/mod_lua.html), позволяющий 
> интегрировать в httpd интерпретатор языка Lua, 
>  переведён (https://lists.apache.org/thread.html/399036e2a44268f9650c59acb1300c9997c5e022e91332062c3aa76e@%3Cdev.httpd.apache.org%3E) 
> в число стабильных и теперь может применяться на рабочих серверах (API 
> не будет изменяться);

> -  В mod_negotiation обеспечено игнорирования регистра символов при разборе списка языков, 
> заданных в диективе LanguagePriority (https://httpd.apache.org/docs/2.4/mod/mod_negotiation.html#languagepriority), 
> в соответствии с поведением AddLanguage и требованиями спецификации HTTP;

> -  В mod_session обеспечено декодирование атрибутов сеанса на самой ранней стадии 
> обработки, а в mod_session_cookie реализовано отсеивание дублирующихся заголовков Set-Cookie;

> -  В mod_ssl налажено выставление переменной $HTTPS при работе в режиме 
>  "SSLEngine optional" и обеспечена корректная работа настройки "Require ssl" при 
> использовании HTTP/2.

> URL: https://www.mail-archive.com/announce@httpd.apache.org/msg00137.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50010

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру