Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4).
Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию.
Из изменений можно отметить:
- В mod_lua добавлена директива LuaAuthzProvider для создания провайдеров авторизации на языке Lua;
- Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: application/x-www-form-urlencoded" с целью избежания потерь данных с добавленным указанием кодировки.
- В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 10.0, так как они расходятся со спецификацией DNT);
- В mod_rewrite устранён крах при хранении RewriteMaps правил в базе dbd;
- В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне TLS;
- В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip переименован в client_ip. Для разбора параметров POST-запроса добавлена функция parsebody;
- В mod_setenvif обеспечена компиляции глобальных регулярных выражений на этапе запуска, что позволило уменьшить потребление памяти, особенно при использовании .htaccess;
- При указании в mod_so через опции LoadFile и LoadModule имени файла без пути, если файл не найден в директории сервера, то он будет открыт из системных библиотечных путей, видимых через dlopen();
- В mod_rewrite добавлена опция "AllowAnyURI".
URL: http://www.apache.org/dist/httpd/CHANGES_2.4
Новость: http://www.opennet.ru/opennews/art.shtml?num=34626