The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Корректирующий релиз http-сервера Apache 2.4.3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Корректирующий релиз http-сервера Apache 2.4.3"  +/
Сообщение от opennews (??) on 21-Авг-12, 10:39 
Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4).


Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию.


Из изменений можно отметить:

-  В mod_lua добавлена директива  LuaAuthzProvider для создания провайдеров авторизации на языке Lua;

-  Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: application/x-www-form-urlencoded" с целью избежания потерь данных с добавленным указанием кодировки.

-  В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 10.0, так как они расходятся со спецификацией DNT);
-  В mod_rewrite устранён крах при хранении RewriteMaps правил в базе dbd;
-  В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне TLS;
-  В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip переименован в client_ip. Для разбора параметров POST-запроса добавлена функция  parsebody;
-  В mod_setenvif обеспечена компиляции глобальных регулярных выражений на этапе запуска, что позволило уменьшить потребление памяти, особенно при использовании .htaccess;

-   При указании в mod_so через опции LoadFile и LoadModule  имени файла без пути, если файл не найден в директории сервера, то он будет открыт из системных библиотечных путей, видимых через dlopen();
-  В mod_rewrite добавлена опция "AllowAnyURI".


URL: http://www.apache.org/dist/httpd/CHANGES_2.4
Новость: http://www.opennet.ru/opennews/art.shtml?num=34626

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

2. "Корректирующий релиз http-сервера Apache 2.4.3"  –1 +/
Сообщение от Серёга on 21-Авг-12, 11:00 
А в репозиториях Ubuntu до сих пор ещё 2.2 лежит... мда.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Корректирующий релиз http-сервера Apache 2.4.3"  +1 +/
Сообщение от Аноним (??) on 21-Авг-12, 11:28 
потому что есть nginx
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Корректирующий релиз http-сервера Apache 2.4.3"  +/
Сообщение от Серёга on 21-Авг-12, 12:54 
Да и nginx в репозиториях то не свежий - 1.1.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Корректирующий релиз http-сервера Apache 2.4.3"  +1 +/
Сообщение от anonymous (??) on 21-Авг-12, 13:05 
А Вам чем-то 2.2 не устраивает? Или Вы просто за версией гонитесь?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Корректирующий релиз http-сервера Apache 2.4.3"  +2 +/
Сообщение от Аноним (??) on 21-Авг-12, 13:12 
В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в портах. Может быть только в генту, но они наркоманы и им можно :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Корректирующий релиз http-сервера Apache 2.4.3"  +/
Сообщение от Аноним (??) on 21-Авг-12, 13:52 
На днях должно придти обновление, а пока:

$ apt-cache policy apache2
apache2:
  Installed: 2.2.22-9
  Candidate: 2.2.22-11
  Version table:
     2.4.2-2 0
          1 http://debian.balt.net/debian/ experimental/main i386 Packages
     2.2.22-11 0
        500 http://debian.balt.net/debian/ testing/main i386 Packages
         50 http://debian.balt.net/debian/ unstable/main i386 Packages
*** 2.2.22-9 0
        100 /var/lib/dpkg/status

$ cat /etc/debian_version
wheezy/sid

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Корректирующий релиз http-сервера Apache 2.4.3"  +/
Сообщение от slepnoga (??) on 21-Авг-12, 14:41 
> В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в
> портах. Может быть только в генту, но они наркоманы и им
> можно :)

Да, я наркоман :) И с моей наркоманской поззиции  поедатели продуктов мамонта ... мм, вобщем
поедатели

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Корректирующий релиз http-сервера Apache 2.4.3"  +1 +/
Сообщение от angra (ok) on 21-Авг-12, 15:42 
Ну если вам так нравится фекальная тема, то расскажите в чем преимущество в поедании того же продукта за землеройкой? Всегда свежее и много? Это актуально при пробивании на хавчик?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Корректирующий релиз http-сервера Apache 2.4.3"  +1 +/
Сообщение от Аноним (??) on 21-Авг-12, 15:43 
> В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в
> портах. Может быть только в генту, но они наркоманы и им
> можно :)

Вы полагаете, что цифры в релизе ничего не значат. Прочитайте про разницу веток Apache 2.2 и 2.4 может быть тогда поймете разницу. Отсутствие новой версии продукта в разных дистрибутивах не говорит о том, что эта версия продукта хуже, чем предыдущая. Это говорит только о том, что все продукты, которые взаимодействуют каким либо образом с данным продуктом не были полностью проверены. На это нужно время, если у данного продукта есть майнтейнер в том или ином дистрибутиве.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Корректирующий релиз http-сервера Apache 2.4.3"  +/
Сообщение от Michael Shigorin email(ok) on 21-Авг-12, 17:05 
+1!
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Корректирующий релиз http-сервера Apache 2.4.3"  +/
Сообщение от Аноним (??) on 21-Авг-12, 23:08 
В генте кстати 2.4.3 еще нету, но есть 2.4.2, который сильно замаскирован.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Корректирующий релиз http-сервера Apache 2.4.3"  +/
Сообщение от pro100master (ok) on 21-Авг-12, 23:54 
а почему вы "киллер-фичи" ставите сначала в продакш, потом в тестовый пул, а не наоборот?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Корректирующий релиз http-сервера Apache 2.4.3"  +1 +/
Сообщение от Аноним (??) on 22-Авг-12, 06:28 
Продукты, которые сменили мажорный или минорный номер версии и содержат новые функции. Которые могут вызывать проблемы обратной совместимости версий. Обычно попадают в дистрибутив только к следующему релизу дистрибутива ОС. А до этого момента они помещаются в тестовый репозиторий. Связано это с тем что, все продукты, которые взаимодействуют каким либо образом с данным продуктом не были полностью проверены (на совместимость). Более того некоторые продукты при смене мажорных или минорных версий, меняют так же мажорные или минорные версии библиотек если такие имеются в данном продукте. Поэтому при смене Apache с версии 2.2 на 2.4 необходимо перекомпилировать, а иногда даже обновить все бинарные пакеты от него зависящие. Поэтому такие обновления обычно подготавливают к релизу дистрибутива ОС, и не пускают такое обновление для массового применения.

Есть дистрибутивы ОС, где используется непрерывный цикл обновлений и в таком дистрибутиве вы найдете новую версию продукта сразу же после того как она будет полностью протестирована.
Все зависит от идеологии дистрибутива ОС, а самое главное от активности его сообщества то есть майнтейнеров и тестеров.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Корректирующий релиз http-сервера Apache 2.4.3"  –1 +/
Сообщение от Andrey Mitrofanov on 22-Авг-12, 10:03 
Да, убу нынче не торт, даже дебиановских пересобрать "жаждущим" не смогли. Какое уж там апстриим...<//набрасываем-набрасываем>
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Корректирующий релиз http-сервера Apache 2.4.3"  +/
Сообщение от Аноним (??) on 23-Авг-12, 16:19 
> А Вам чем-то 2.2 не устраивает? Или Вы просто за версией гонитесь?

Те, кто за версией не гонятся, сидят на Debian stable или CentOS.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

20. "Корректирующий релиз http-сервера Apache 2.4.3"  –1 +/
Сообщение от Аноним (??) on 23-Авг-12, 16:21 
> Ну если вам так нравится фекальная тема, то расскажите в чем преимущество
> в поедании того же продукта за землеройкой? Всегда свежее и много?
> Это актуально при пробивании на хавчик?

Фекальная тема нравится пользователям ветки 2.2. "Наркоманы" же, наоборот, предпочитают пищу, еще не бывшую в употреблении =)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Корректирующий релиз http-сервера Apache 2.4.3"  +/
Сообщение от Алексей (??) on 26-Авг-12, 15:40 
Считаю, что с целю увеличения защищенности веб-сервера следует отключать те модули, которые не используются для решения определенной конкретной задачи. http://www.aleksey.crimea.ua/apache_modules.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру