Корректирующий релиз http-сервера Apache 2.4.3

21 августа 2012 года

Доступен корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений.

Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию.

Из изменений можно отметить:

  • В mod_lua добавлена директива LuaAuthzProvider для создания провайдеров авторизации на языке Lua;
  • Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: application/x-www-form-urlencoded" с целью избежания потерь данных с добавленным указанием кодировки.
  • В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 10.0, так как они расходятся со спецификацией DNT);
  • В mod_rewrite устранён крах при хранении RewriteMaps правил в базе dbd;
  • В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне TLS;
  • В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip переименован в client_ip. Для разбора параметров POST-запроса добавлена функция parsebody;
  • В mod_setenvif обеспечена компиляция глобальных регулярных выражений на этапе запуска, что позволило уменьшить потребление памяти, особенно при использовании .htaccess;
  • При указании в mod_so через опции LoadFile и LoadModule имени файла без пути, если файл не найден в директории сервера, то он будет открыт из системных библиотечных путей, видимых через dlopen();
  • В mod_rewrite добавлена опция "AllowAnyURI".

Источники править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Корректирующий релиз http-сервера Apache 2.4.3», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.