Корректирующий релиз http-сервера Apache 2.4.3

21.08.2012 09:37

Доступен корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений.

Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию.

Из изменений можно отметить:

В mod_lua добавлена директива LuaAuthzProvider для создания провайдеров авторизации на языке Lua;
Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: application/x-www-form-urlencoded" с целью избежания потерь данных с добавленным указанием кодировки.
В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 10.0, так как они расходятся со спецификацией DNT);
В mod_rewrite устранён крах при хранении RewriteMaps правил в базе dbd;
В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне TLS;
В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip переименован в client_ip. Для разбора параметров POST-запроса добавлена функция parsebody;
В mod_setenvif обеспечена компиляция глобальных регулярных выражений на этапе запуска, что позволило уменьшить потребление памяти, особенно при использовании .htaccess;
При указании в mod_so через опции LoadFile и LoadModule имени файла без пути, если файл не найден в директории сервера, то он будет открыт из системных библиотечных путей, видимых через dlopen();
В mod_rewrite добавлена опция "AllowAnyURI".

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/34626-apache

Ключевые слова: apache, http

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.2, Серёга (?), 11:00, 21/08/2012 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А в репозиториях Ubuntu до сих пор ещё 2.2 лежит... мда.

2.3, Аноним (-), 11:28, 21/08/2012 [^] [^^] [^^^] [ответить]	+1 +/–
потому что есть nginx

3.6, Серёга (?), 12:54, 21/08/2012 [^] [^^] [^^^] [ответить]	+/–
Да и nginx в репозиториях то не свежий - 1.1.

4.18, Andrey Mitrofanov (?), 10:03, 22/08/2012 [^] [^^] [^^^] [ответить]	–1 +/–
Да, убу нынче не торт, даже дебиановских пересобрать "жаждущим" не смогли. Какое уж там апстриим...<//набрасываем-набрасываем>

2.7, anonymous (??), 13:05, 21/08/2012 [^] [^^] [^^^] [ответить]	+1 +/–
А Вам чем-то 2.2 не устраивает? Или Вы просто за версией гонитесь?

3.13, Michael Shigorin (ok), 17:05, 21/08/2012 [^] [^^] [^^^] [ответить]	+/–
+1!

3.19, Аноним (-), 16:19, 23/08/2012 [^] [^^] [^^^] [ответить]	+/–
> А Вам чем-то 2.2 не устраивает? Или Вы просто за версией гонитесь? Те, кто за версией не гонятся, сидят на Debian stable или CentOS.

1.8, Аноним (-), 13:12, 21/08/2012 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в портах. Может быть только в генту, но они наркоманы и им можно :)

2.9, Аноним (-), 13:52, 21/08/2012 [^] [^^] [^^^] [ответить]

+/–

На днях должно придти обновление, а пока:

$ apt-cache policy apache2
apache2:
  Installed: 2.2.22-9
  Candidate: 2.2.22-11
  Version table:
     2.4.2-2 0
          1 http://debian.balt.net/debian/ experimental/main i386 Packages
     2.2.22-11 0
        500 http://debian.balt.net/debian/ testing/main i386 Packages
         50 http://debian.balt.net/debian/ unstable/main i386 Packages
*** 2.2.22-9 0
        100 /var/lib/dpkg/status

$ cat /etc/debian_version
wheezy/sid

2.10, slepnoga (??), 14:41, 21/08/2012 [^] [^^] [^^^] [ответить]	+/–
> В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в > портах. Может быть только в генту, но они наркоманы и им > можно :) Да, я наркоман :) И с моей наркоманской поззиции поедатели продуктов мамонта ... мм, вобщем поедатели

3.11, angra (ok), 15:42, 21/08/2012 [^] [^^] [^^^] [ответить]	+1 +/–
Ну если вам так нравится фекальная тема, то расскажите в чем преимущество в поедании того же продукта за землеройкой? Всегда свежее и много? Это актуально при пробивании на хавчик?

4.20, Аноним (-), 16:21, 23/08/2012 [^] [^^] [^^^] [ответить]	–1 +/–
> Ну если вам так нравится фекальная тема, то расскажите в чем преимущество > в поедании того же продукта за землеройкой? Всегда свежее и много? > Это актуально при пробивании на хавчик? Фекальная тема нравится пользователям ветки 2.2. "Наркоманы" же, наоборот, предпочитают пищу, еще не бывшую в употреблении =)

2.12, Аноним (-), 15:43, 21/08/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в > портах. Может быть только в генту, но они наркоманы и им > можно :) Вы полагаете, что цифры в релизе ничего не значат. Прочитайте про разницу веток Apache 2.2 и 2.4 может быть тогда поймете разницу. Отсутствие новой версии продукта в разных дистрибутивах не говорит о том, что эта версия продукта хуже, чем предыдущая. Это говорит только о том, что все продукты, которые взаимодействуют каким либо образом с данным продуктом не были полностью проверены. На это нужно время, если у данного продукта есть майнтейнер в том или ином дистрибутиве.

Часть нити удалена модератором

4.16, pro100master (ok), 23:54, 21/08/2012 [^] [^^] [^^^] [ответить]	+/–
а почему вы "киллер-фичи" ставите сначала в продакш, потом в тестовый пул, а не наоборот?

3.17, Аноним (-), 06:28, 22/08/2012 [^] [^^] [^^^] [ответить]	+1 +/–
Продукты, которые сменили мажорный или минорный номер версии и содержат новые функции. Которые могут вызывать проблемы обратной совместимости версий. Обычно попадают в дистрибутив только к следующему релизу дистрибутива ОС. А до этого момента они помещаются в тестовый репозиторий. Связано это с тем что, все продукты, которые взаимодействуют каким либо образом с данным продуктом не были полностью проверены (на совместимость). Более того некоторые продукты при смене мажорных или минорных версий, меняют так же мажорные или минорные версии библиотек если такие имеются в данном продукте. Поэтому при смене Apache с версии 2.2 на 2.4 необходимо перекомпилировать, а иногда даже обновить все бинарные пакеты от него зависящие. Поэтому такие обновления обычно подготавливают к релизу дистрибутива ОС, и не пускают такое обновление для массового применения. Есть дистрибутивы ОС, где используется непрерывный цикл обновлений и в таком дистрибутиве вы найдете новую версию продукта сразу же после того как она будет полностью протестирована. Все зависит от идеологии дистрибутива ОС, а самое главное от активности его сообщества то есть майнтейнеров и тестеров.

2.15, Аноним (-), 23:08, 21/08/2012 [^] [^^] [^^^] [ответить]	+/–
В генте кстати 2.4.3 еще нету, но есть 2.4.2, который сильно замаскирован.

1.22, Алексей (??), 15:40, 26/08/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Считаю, что с целю увеличения защищенности веб-сервера следует отключать те модули, которые не используются для решения определенной конкретной задачи. http://www.aleksey.crimea.ua/apache_modules.html

игнорирование участников | лог модерирования

Добавить комментарий

Текст: