forum.opennet.ru

Составление сообщения

Исходное сообщение

"Корректирующий релиз http-сервера Apache 2.4.3"
Отправлено opennews, 21-Авг-12 10:39

Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4).

Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию.

Из изменений можно отметить:
-  В mod_lua добавлена директива  LuaAuthzProvider для создания провайдеров авторизации на языке Lua;
-  Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: application/x-www-form-urlencoded" с целью избежания потерь данных с добавленным указанием кодировки.
-  В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 10.0, так как они расходятся со спецификацией DNT);
-  В mod_rewrite устранён крах при хранении RewriteMaps правил в базе dbd;
-  В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне TLS;
-  В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip переименован в client_ip. Для разбора параметров POST-запроса добавлена функция  parsebody;
-  В mod_setenvif обеспечена компиляции глобальных регулярных выражений на этапе запуска, что позволило уменьшить потребление памяти, особенно при использовании .htaccess;

-   При указании в mod_so через опции LoadFile и LoadModule  имени файла без пути, если файл не найден в директории сервера, то он будет открыт из системных библиотечных путей, видимых через dlopen();
-  В mod_rewrite добавлена опция "AllowAnyURI".

URL: http://www.apache.org/dist/httpd/CHANGES_2.4
Новость: http://www.opennet.ru/opennews/art.shtml?num=34626

Исходное сообщение
"Корректирующий релиз http-сервера Apache 2.4.3" Отправлено opennews, 21-Авг-12 10:39
Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4). Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию. Из изменений можно отметить: - В mod_lua добавлена директива LuaAuthzProvider для создания провайдеров авторизации на языке Lua; - Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: application/x-www-form-urlencoded" с целью избежания потерь данных с добавленным указанием кодировки. - В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 10.0, так как они расходятся со спецификацией DNT); - В mod_rewrite устранён крах при хранении RewriteMaps правил в базе dbd; - В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне TLS; - В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip переименован в client_ip. Для разбора параметров POST-запроса добавлена функция parsebody; - В mod_setenvif обеспечена компиляции глобальных регулярных выражений на этапе запуска, что позволило уменьшить потребление памяти, особенно при использовании .htaccess; - При указании в mod_so через опции LoadFile и LoadModule имени файла без пути, если файл не найден в директории сервера, то он будет открыт из системных библиотечных путей, видимых через dlopen(); - В mod_rewrite добавлена опция "AllowAnyURI". URL: http://www.apache.org/dist/httpd/CHANGES_2.4 Новость: http://www.opennet.ru/opennews/art.shtml?num=34626

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 
> 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4).

> Первая уязвимость связана с возможностью получения остаточных данных от другого запроса 
> при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation 
> и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в 
> директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка 
> JavaSript или HTML блоков через имя файла) в условиях включения опции 
> MultiViews и возможности загрузки пользователем произвольных данных в директорию.

> Из изменений можно отметить:

> -  В mod_lua добавлена директива  LuaAuthzProvider для создания провайдеров авторизации 
> на языке Lua;

> -  Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: 
> application/x-www-form-urlencoded" с целью избежания потерь данных с добавленным указанием 
> кодировки.

> -  В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения 
> bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при 
> выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 
> 10.0, так как они расходятся со спецификацией DNT); 
> -  В mod_rewrite устранён крах при хранении RewriteMaps правил в базе 
> dbd; 
> -  В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне 
> TLS; 
> -  В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip 
> переименован в client_ip. Для разбора параметров POST-запроса добавлена функция  parsebody; 
 
> -  В mod_setenvif обеспечена компиляции глобальных регулярных выражений на этапе запуска, 
> что позволило уменьшить потребление памяти, особенно при использовании .htaccess;

> -   При указании в mod_so через опции LoadFile и LoadModule 
>  имени файла без пути, если файл не найден в директории 
> сервера, то он будет открыт из системных библиотечных путей, видимых через 
> dlopen(); 
> -  В mod_rewrite добавлена опция "AllowAnyURI".

> URL: http://www.apache.org/dist/httpd/CHANGES_2.4 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=34626

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру