Выпуск http-серверов Apache 2.4.27, nginx 1.13.3 и 1.12.1

11 июля 2017 года

Представлен релиз HTTP-сервера Apache 2.4.27, в котором внесено 8 изменений (Архивная копия от 17 октября 2017 на Wayback Machine), из которых половина связана с решением проблем с нарушением совместимости. В частности, отключена поддержка HTTP/2 при использовании Prefork MPM, обеспечена совместимость FastCGI c PHP-FPM (возобновлено поведение версии 2.4.20), отключен экспорт недокументированной переменной 'apr_table' в mod_lua, улучшена совместимость mod_lua с Lua 5.1, 5.2 и 5.3. Кроме того, увеличена производительность и снижено потребление памяти в mod_http2, возобновлена поддержка полей из одного символа, устранено дублирование метода HEAD в заголовке Allow.

Также доступны новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx - 1.12.1 и 1.13.3, в которых устранена уязвимость CVE-2017-7529. При помощи отправки специально оформленного запроса злоумышленник может вызвать целочисленное переполнение и некорректную обработку диапазонов в range-фильтре. При использовании штатного набора модулей уязвимость потенциально может привести к утечке заголовка файла из кэша, если запрос возвращён из кэша. Заголовок может содержать IP бэкенд-сервера или другую частную информацию. При установке сторонних модулей не исключается вызов отказа в обслуживании или утечка части памяти рабочего процесса. В качестве обходного метода защиты в настройках можно указать "max_ranges 1".

Дополнение: С запозданием появились сведения об устранении в Apache 2.4.27 двух уязвимостей, которые не были упомянуты в общем списке изменений: CVE-2017-9789 - обращение к уже освобождённому блоку памяти в mod_http2 и CVE-2017-9788 - утечка данных в mod_auth_digest из-за использования неинициализированной памяти.