Релиз http-сервера Apache 2.4.6

20 июля 2013 года

Wikinews-logo-ru.svg

Доступен релиз http-сервера Apache 2.4.6, в котором устранено 2 уязвимости и представлено 77 исправлений. Несмотря на то, что новая версия имеет корректирующий характер, в Apache 2.4.6 представлена достаточно большая порция улучшений. Выпуск Apache 2.4.5 был пропущен, так как в процессе формирования релиза было выявлено регрессивное изменение, для исправления которого по горячим следам выпущен Apache 2.4.6.

Из изменений можно отметить:

  • Поддержка проксирования и туннелирования websocket-запросов. Добавлен модуль mod_proxy_wstunnel;
  • Значительное обновление модуля mod_lua. Обеспечена возможность создания фильтров контента на языке Lua (подключение через LuaInputFilter/LuaOutputFilter). Добавлена директива LuaMapHandler для привязки URL к скриптам-обработчикам на языке Lua (маска URL может быть задана с использованием регулярных выражений). Добавлена директива LuaCodeCache для управления кэшированием кода Lua-скриптов в памяти. Добавлены новые функции r:htpassword(), r:mkdir(), r:mkrdir(),

r:rmdir(), r:touch(), r:get_direntries(), r.date_parse_rfc(), обеспечен доступ к БД apr_dbd/mod_dbd;

  • Новая высокопроизводительная реализация кэширования в разделяемой памяти;
  • Включение в состав модуля mod_macro, предназначенного для упрощения управления настройками через использование макросов в файле конфигурации;
  • Серия исправлений в mod_cache и mod_proxy, направленных на более точное следование рекомендациям RFC 2616;
  • Добавление в mod_auth_basic режима поддельной аутентификации, включаемого через директиву AuthBasicFake, которая позволяет администратору задать отдельный логин и пароль для своих нужд;
  • В mod_proxy добавлены опции BalancerInherit и ProxyPassInherit для управления наследованием параметров виртуального хоста в балансировщиках и обработчиках соединений;
  • В утилиту rotatelogs добавлена поддержка опции "-n" для организации ротации с использованием фиксированного числа архивных лог-файлов;
  • В утилиту htpasswd добавлена опция "-v" для проверки паролей.

Что касается устранённых проблем с безопасностью, то первая уязвимость (CVE-2013-1896) связана с некорректной обработкой запросов на слияние в mod_dav и может привести к краху серверного процесса при отправке злоумышленником специально оформленных MERGE-запросов. Вторая проблема безопасности (CVE-2013-2249) затрагивает модуль mod_session_dbd и связана с ненадлежащей сменой идентификатора сессии при смене сессии.

ИсточникиПравить


Эта статья содержит материалы из статьи «Релиз http-сервера Apache 2.4.6», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии:Релиз http-сервера Apache 2.4.6