Релиз http-сервера Apache 2.4.25

24.12.2016 10:41

Состоялся релиз HTTP-сервера Apache 2.4.25, в котором представлено 64 изменения, 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сборкой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25.

Из изменений можно отметить:

Устранено 5 уязвимостей:
- CVE-2016-0736 - mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle). Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash);
- CVE-2016-2161 - крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных;
- CVE-2016-5387 - уязвимость под кодовым названием Httpoxy, позволяющая совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy;
- CVE-2016-8740 - уязвимость в реализации HTTP/2, позволяющая осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;
- CVE-2016-8743 - возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500;
В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности;
В mod_socache_memcache обеспечен вывод статистики memcache через mod_status;
Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230;
В запросах к прокси добавлена возможность указания незакодированных символов ';' в запросе и заголовке "Location:";
Добавлена директива RegisterHttpMethod для регистрации нестандартных методов HTTP;
В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в memcached;
В mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных о состоянии в HTTP-ответах с кодом 103;
В mod_http2 добавлена директива 'H2PushResource' для включения ранней отправки ресурсов методом PUSH до начала обработки основного запроса;
В mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах;
В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);
Обеспечен вывод ответа "408 Request Timeout" при при исчерпании таймаута в процессе чтения тела запроса;
В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через TLS.

исправить +14 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45757-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (34)

1.1, th3m3 (ok), 15:15, 24/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Кроме хостингов, его реально ещё кто-то юзает в продакшене?

2.3, leap42 (ok), 15:32, 24/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
да, использую, а разве есть какой-то другой простой, мощный, надёжный и хорошо документированный веб-сервер с открытым кодом?

3.4, Аноним (-), 15:37, 24/12/2016 [^] [^^] [^^^] [ответить]	+2 +/–
Да, есть несколько. Минимум ещё 3.

4.5, Andrey Mitrofanov (?), 15:56, 24/12/2016 [^] [^^] [^^^] [ответить]	–9 +/–
> Да, есть несколько. Минимум ещё 3. Вы используете сразу 4 веб-вервера? Матёро!--

5.7, Syward (ok), 17:30, 24/12/2016 [^] [^^] [^^^] [ответить]	+8 +/–
Где он написал, что он использует 4 сервера? Он написал, что есть еще 3, минимум.

4.6, Анын (ok), 17:28, 24/12/2016 [^] [^^] [^^^] [ответить]	+/–
>>Минимум ещё 3. Nginx.. а еще?

4.8, leap42 (ok), 17:35, 24/12/2016 [^] [^^] [^^^] [ответить]	–4 +/–
а назовите пожалуйста, только не пишите реверс-прокси nginx и lighttpd, которые прекрасно отдают статику и кешируют, но на "мощный веб-сервер" (я выше именно так и написал) не тянут, и могут лишь раздавать веб-контент, сгенерированный где-то еще (да, я знаю, что для nginx можно написать логику на lua или модуль на C, который будет что-то генерить, но мощному веб-серверу такое явно ни к чему).

5.9, анон9 (?), 18:18, 24/12/2016 [^] [^^] [^^^] [ответить]	+3 +/–
Назовите ваши критерии "мощного веб-сервера", а то гадать можно долго

6.38, Аноним (-), 23:55, 08/10/2017 [^] [^^] [^^^] [ответить]	+/–
Всё строго как в статья для профессионалов, если выдает больше 1 киловата, значит мощный!

5.10, Аноним (-), 18:51, 24/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
А что у тебя там апач генерирует то, м? PHP, Perl/CGI? Дак то тоже не заслуга апача - апач только отдает то, что эти интерпретаторы сгенерили. Что вообще такое "мощный веб-сервер"? Чем апач лучше nginx/lighttpd, если апач так же отдает статику?

6.11, Shodan (ok), 20:39, 24/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
плюс апача - большое кол-во модулей

7.12, th3m3 (ok), 21:04, 24/12/2016 [^] [^^] [^^^] [ответить]	–2 +/–
Что же за модули вы там всё юзаете, для типовых проектов, которые потом сервера ложат? :) Апач же жрёт, как не в себя.

7.33, lucentcode (ok), 02:18, 13/01/2017 [^] [^^] [^^^] [ответить]

+/–

> плюс апача - большое кол-во модулей

То же самое касается и nginx.

8.34, Andrey Mitrofanov (?), 09:32, 13/01/2017 [^] [^^] [^^^] [ответить]	+/–
Согласен Большое к-во модулей нжинкса -- плюс апача ... текст свёрнут, показать

8.35, Shodan (ok), 12:31, 13/01/2017 [^] [^^] [^^^] [ответить]	+/–
У апача больше В nginx только недавно появилась возможность динамически подкл... текст свёрнут, показать

3.25, лютый жабист__ (?), 05:04, 27/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Апач до сих пор на каждого клиента форкается? Как можно это называть надежным и мощным, любой школьник-кульхакер Вася положит твой сайт. Либо выест твои бабульки со счёта, если ты в хорошо масштабируемом облаке сидишь. Что одинаково неприятно. Ещё и список дырок поражает воображение, ветке 2.4 уже 100 лет, а до сих пор столько дурацких ляпов. Здравствуй быстрый си!

3.27, XoRe (ok), 21:31, 27/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
> да, использую, а разве есть какой-то другой простой, мощный, надёжный и хорошо > документированный веб-сервер с открытым кодом? Остается только гадать, что вы подразумеваете под "мощный". Могу предположить, что вы имеете в виду "может запускать php внутри себя", т.е. имеющий php_mod.

2.28, XoRe (ok), 21:35, 27/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
> Кроме хостингов, его реально ещё кто-то юзает в продакшене? Ещё дофига, или по старинке или просто он есть из коробки. Но если учесть, сколько ещё используется в продакшене IIS, то apache выглядит не так плохо :)

1.2, ОлдФак (ok), 15:30, 24/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Я юзаю в конторе, для работы внутренней СРМки самописной

2.13, Аноним (-), 04:14, 25/12/2016 [^] [^^] [^^^] [ответить]	+/–
https://imgur.com/a/UI6WL

3.17, Googlebot Серёженьки (?), 19:33, 25/12/2016 [^] [^^] [^^^] [ответить]	+/–
Тож бот? ;-)

3.29, Аноним (-), 09:53, 08/01/2017 [^] [^^] [^^^] [ответить]	+/–
mod_php же не ту там

1.15, Аноним (-), 12:30, 25/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я юзаю Apache на локалке

1.16, Starikashka (?), 13:16, 25/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Использую потому, что привык и знаю все настройки. Не вижу пока смысла перепрофилироваться.

2.18, cmp (ok), 00:22, 26/12/2016 [^] [^^] [^^^] [ответить]	+/–
У энжинкса дефолтный конфиг гораздо меньше, и "под себя" его сделать гораздо проще, нету этого тупорылого тегоподобного синтаксиса, он не тянет с собой ничего, и пакет и бинарник гораздо меньше, как ни крути, памяти жрет меньше, вообще беспонятия на кой нужен апач, если это не какая-нибуть старая, 100 раз переделанная смска гвоздями прибитая к апачу.

3.19, Аноним (-), 11:05, 26/12/2016 [^] [^^] [^^^] [ответить]	+4 +/–
Как только вам понадобится отдать функционал mod_rewrite "продвинутому" бизнес пользователю, который будет править его для правильного учёта рекламных компаний ( в т.ч. для перенаправления старых ссылок за которые заплачено ) вы вовсю ощутите разницу в настройках и стоимости реализации с помощью одного и другого инструмента.

4.23, sysoiv (?), 22:39, 26/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
не? http://nginx.org/ru/docs/http/ngx_http_rewrite_module.html

5.24, angra (ok), 01:03, 27/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Ключевое слово было "отдать", то бишь речь об .htaccess, аналога которому в nginx нет.

4.26, XoRe (ok), 21:28, 27/12/2016 [^] [^^] [^^^] [ответить]

–2 +/–

> "продвинутому" бизнес пользователю,

То есть хостинг. Как раз та ниша апача, где он ещё остался.
Хотя остается только гадать, накой бизнес пользователю держать сайт на шаред хостинге.
Особенно странно, что пользователь не боится пускать рекламный трафик на сервер с апачом :)

А для ссылок, за которые заплачено, в nginx можно плодить сотни конструкций типа:
location = /old/path/page { return 301 /new/path/page; }

5.31, Аноним (-), 10:01, 08/01/2017 [^] [^^] [^^^] [ответить]	+1 +/–
вы видимо еще в 90 живете. или не знаете нормальных хостеров. есть такой вид хостинга - где настроен и апач и nginx, есть ssh. тем самым мы используем все плюшки apache и снижаем нагрузку с помощью nginx тех. поддержка такого решения сравнима с шаредом, и у клиентов востребована т.к. не требуется настраивать свой VDS и тратится на админов.

6.32, XoRe (ok), 01:45, 13/01/2017 [^] [^^] [^^^] [ответить]	+/–
> вы видимо еще в 90 живете. или не знаете нормальных хостеров. Вы видимо не правильно прочитали, что я написал, или прочитали, но не поняли. Я сказал, что хостинг - это та ниша, где ещё осталось полно апача. Но я не говорил, что на этих хостингах есть ТОЛЬКО апач и больше ничего.

4.30, Аноним (-), 09:57, 08/01/2017 [^] [^^] [^^^] [ответить]	+/–
суровые у вас пользователи - если лазят по .htaccess для такой простейшей операции. у нормальных людей это в cms реализуется или на уровне php в виде php массива [Src => Dest, ...] или csv файла в две колонки - что было что стало.

1.36, serafimperfect010993 (ok), 18:39, 05/09/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кто может проконсультировать по поводу переезда на https?

1.37, serafimperfect010993 (ok), 18:45, 05/09/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ddd

игнорирование участников | лог модерирования

Добавить комментарий

Текст: