Релиз http-сервера Apache 2.4.6
20 июля 2013 года
Доступен релиз http-сервера Apache 2.4.6, в котором устранено 2 уязвимости и представлено 77 исправлений. Несмотря на то, что новая версия имеет корректирующий характер, в Apache 2.4.6 представлена достаточно большая порция улучшений. Выпуск Apache 2.4.5 был пропущен, так как в процессе формирования релиза было выявлено регрессивное изменение, для исправления которого по горячим следам выпущен Apache 2.4.6.
Из изменений можно отметить:
- Поддержка проксирования и туннелирования websocket-запросов. Добавлен модуль mod_proxy_wstunnel;
- Значительное обновление модуля mod_lua. Обеспечена возможность создания фильтров контента на языке Lua (подключение через LuaInputFilter/LuaOutputFilter). Добавлена директива LuaMapHandler для привязки URL к скриптам-обработчикам на языке Lua (маска URL может быть задана с использованием регулярных выражений). Добавлена директива LuaCodeCache для управления кэшированием кода Lua-скриптов в памяти. Добавлены новые функции r:htpassword(), r:mkdir(), r:mkrdir(),
r:rmdir(), r:touch(), r:get_direntries(), r.date_parse_rfc(), обеспечен доступ к БД apr_dbd/mod_dbd;
- Новая высокопроизводительная реализация кэширования в разделяемой памяти;
- Включение в состав модуля mod_macro, предназначенного для упрощения управления настройками через использование макросов в файле конфигурации;
- Серия исправлений в mod_cache и mod_proxy, направленных на более точное следование рекомендациям RFC 2616;
- Добавление в mod_auth_basic режима поддельной аутентификации, включаемого через директиву AuthBasicFake, которая позволяет администратору задать отдельный логин и пароль для своих нужд;
- В mod_proxy добавлены опции BalancerInherit и ProxyPassInherit для управления наследованием параметров виртуального хоста в балансировщиках и обработчиках соединений;
- В утилиту rotatelogs добавлена поддержка опции "-n" для организации ротации с использованием фиксированного числа архивных лог-файлов;
- В утилиту htpasswd добавлена опция "-v" для проверки паролей.
Что касается устранённых проблем с безопасностью, то первая уязвимость (CVE-2013-1896) связана с некорректной обработкой запросов на слияние в mod_dav и может привести к краху серверного процесса при отправке злоумышленником специально оформленных MERGE-запросов. Вторая проблема безопасности (CVE-2013-2249) затрагивает модуль mod_session_dbd и связана с ненадлежащей сменой идентификатора сессии при смене сессии.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
