Релиз http-сервера Apache 2.4.25

24 декабря 2016 года

Состоялся релиз HTTP-сервера Apache 2.4.25, в котором представлено 64 изменения, 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сборкой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25.

Из изменений можно отметить:

  • Устранено 5 уязвимостей:
  • CVE-2016-0736 - mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle). Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash);
  • CVE-2016-2161 - крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных;
  • CVE-2016-5387 - уязвимость под кодовым названием Httpoxy, позволяющая совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy;
  • CVE-2016-8740 - уязвимость в реализации HTTP/2, позволяющая осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;
  • CVE-2016-8743 - возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500;
  • В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности;
  • В mod_socache_memcache обеспечен вывод статистики memcache через mod_status;
  • Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230;
  • В запросах к прокси добавлена возможность указания незакодированных символов ';' в запросе и заголовке "Location:";
  • Добавлена директива RegisterHttpMethod для регистрации нестандартных методов HTTP;
  • В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в memcached;
  • В mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных о состоянии в HTTP-ответах с кодом 103;
  • В mod_http2 добавлена директива 'H2PushResource' для включения ранней отправки ресурсов методом PUSH до начала обработки основного запроса;
  • В mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах;
  • В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);
  • Обеспечен вывод ответа "408 Request Timeout" при при исчерпании таймаута в процессе чтения тела запроса;
  • В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через TLS.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Релиз http-сервера Apache 2.4.25», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.