Обновление HTTP сервера Apache — релизы 2.2.8, 2.0.63 и 1.3.41

17 января 2008 года

Выпущены три новых релиза HTTP сервера Apache: 2.2.8 (Архивная копия от 3 декабря 2016 на Wayback Machine), 2.0.63 (Архивная копия от 21 августа 2014 на Wayback Machine) и 1.3.41 (Архивная копия от 9 марта 2011 на Wayback Machine).

В Apache 1.3.41 исправлены (Архивная копия от 27 января 2010 на Wayback Machine) следующие проблемы связанные с безопасностью:

• Возможность межсайтового скриптига (XSS) в mod_status и mod_imap
• Ошибка в mod_proxy, которую можно использовать для совершения DoS атаки на платформах Windows и NetWare.

Также в 1.3.41 устранена недоработка, приводившая к появлению ошибок "Bad pid" в логе.

В Apache 2.0.63 (Архивная копия от 21 августа 2014 на Wayback Machine) только устранена уязвимость связанная с возможностью межсайтового скриптига через модули mod_status и mod_imagemap.

Гораздо больше изменений (Архивная копия от 29 мая 2008 на Wayback Machine) представлено в версии Apache 2.2.8. Кроме уже упоминавшихся XSS уязвимостей в mod_status и mod_imagemap, можно отметить исправление следующих проблем:

• Уязвимость в mod_proxy_balancer, дающая злоумышленнику возможность подстановки HTML и JavaScript кода в контексте чужого сайта, на котором используется mod_proxy_balancer.
• Возможность совершения DoS атаки через передачу системе управления модулем mod_proxy_balancer специально скомпонованного имени балансировщика.

Изменения в 2.2.8 не связанные с безопасностью:

• Реализована директива ProxyFtpDirCharset, позволяющая для определённого пути задать кодировку вывода содержимого проксируемой FTP директории (ранее всегда выдавалось в ISO-8859-1);
• Во многих модулях добавлено явное указание кодировки при выводе данных, для устранения потенциальной возможности совершения XSS атаки на браузеры нарушающие в своей работе RFC2616;
• В Event MPM добавлена возможность совместной работы с модулем mod_ssl;
• В mod_rewrite добавлены две опции: NV (no vary) флаг в RewriteCond запрещающий выдачу заголовка Vary, и опция "B" (escape backreferences), предотвращающую раскодирование спец. символов (unescaping) в URL;
• При помощи директивы "if" в mod_include отныне можно проверять доступность URL, например для скрытия линков на закрытые области сайта для пользователей не имеющих доступа;
• В mod_substitute добавлен новый фильтр вывода (output filter), который позволяет фильтровать вывод в соответствии с заданной маской (поддерживаются регулярные выражения);
• В mod_status появилась директива SeeRequestTail, определяющая отображать содержимое первых или последних 63 символов запроса. Работает при включенном режиме ExtendedStatus;
• Исправлены ошибки в модулях winnt_mpm, mod_dav, mod_ssl, mod_ldap, mod_disk_cache, http_protocol, mod_proxy_ajp, mod_filter, mod_proxy_http, mod_autoindex, mod_charset_lite, mod_deflate и mod_proxy_ftp.