Вышел релиз http-сервера Apache 2.2.12

28 июля 2009 года

Увидел свет корректирующий релиз http-сервера Apache 2.2.12 в котором устранено 7 незначительных уязвимостей и внесено 38 изменений.

Исправлены уязвимости:

• Возможность совершения DoS атаки через создание излишней нагрузки на CPU, через создание серии "оборванных" запросов больших файлов, которые будут до конца обработаны такими ресурсоемкими модулями, как mod_deflate;
• Уязвимость, позволяющая локальному пользователю организовать выполнение команды через SSI конструкцию "#exec" не имея на это полномочий ("AllowOverride ... Options=IncludesNoEXEC" в httpd.conf), если в .htaccess файле указать "Options Includes";
• Ошибка в модуле mod_proxy могла быть использована злоумышленниками для вызова отказа в обслуживании через чрезмерное потребление ресурсов CPU после отправки специального запроса к прокси;
• Уязвимость в mod_proxy_ajp позволяла злоумышленнику получить содержимое предыдущего запроса, в случае проблем с его доставкой;
• Три уязвимости в утилите APR.

Из изменений можно отметить:

• Накопившиеся ошибки были устранены в модулях: mod_include, mod_rewrite, mod_deflate, mod_alias, mod_proxy, mod_negotiation, mod_substitute, mod_disk_cache/mod_mem_cache, mod_ext_filter, mod_cgid, mod_ldap,
• В mod_include добавлена поддержка генерации не-ASCII символов в качестве элементов в SSI;
• В модуле mod_disk_cache появилась возможность отключения использования sendfile через задание глобальной директивы 'EnableSendfile off';
• В prefork MPM исправлена ошибка, приводившая к экстренному завершению дочерних процессов при выполнении graceful-метода перезапуска в конфигурациях с несколькими слушающими сокетами;
• Новый синтаксис для перенаправления логов процессу-фильтру: при задании "||process args" процесс будет вызван напрямую, без промежуточного запуска командного интерпретатора/шела (при задании "|$command line" процесс будет запущен через shell);
• В mod_rewrite представлен новый флаг "DiscardPathInfo|DPI" для предотвращения добавления PATH_INFO при каждой замене до рассмотрения следующего правила замены;
• В mod_cache добавлена возможность запрещения сохранения данных в кэш при определении переменной 'no-cache' в запросе;
• При обработке CGI при наступлении таймаута до появления первой строки заголовка теперь выдается код 504 (Gateway timeout), вместо 500;
• В mod_ssl добавлена поддержка индикации имени сервера (RFC 4366) и улучшена поддержка работы виртуальных хостов с разделением по именам. Добавлены новые директивы SSLRenegBufferSize, SSLProxyCheckPeerExpire и SSLProxyCheckPeerCN.