The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.12.2016 10:41  Релиз http-сервера Apache 2.4.25

Состоялся релиз HTTP-сервера Apache 2.4.25, в котором представлено 64 изменения, 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сборкой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25.

Из изменений можно отметить:

  • Устранено 5 уязвимостей:
    • CVE-2016-0736 - mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle). Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash);
    • CVE-2016-2161 - крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных;
    • CVE-2016-5387 - уязвимость под кодовым названием Httpoxy, позволяющая совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy;
    • CVE-2016-8740 - уязвимость в реализации HTTP/2, позволяющая осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;
    • CVE-2016-8743 - возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500;
  • В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности;
  • В mod_socache_memcache обеспечен вывод статистики memcache через mod_status;
  • Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230;
  • В запросах к прокси добавлена возможность указания незакодированных символов ';' в запросе и заголовке "Location:";
  • Добавлена директива RegisterHttpMethod для регистрации нестандартных методов HTTP;
  • В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в memcached;
  • В mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных о состоянии в HTTP-ответах с кодом 103;
  • В mod_http2 добавлена директива 'H2PushResource' для включения ранней отправки ресурсов методом PUSH до начала обработки основного запроса;
  • В mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах;
  • В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);
  • Обеспечен вывод ответа "408 Request Timeout" при при исчерпании таймаута в процессе чтения тела запроса;
  • В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через TLS.


  1. Главная ссылка к новости (http://www.mail-archive.com/an...)
  2. OpenNews: Релиз Apache Traffic Server 7.0
  3. OpenNews: В HTTP-сервере Apache 2.4.23 устранена уязвимость
  4. OpenNews: Увидел свет HTTP-сервер Apache 2.4.20
  5. OpenNews: Доступен http-сервер Apache 2.4.18
  6. OpenNews: DoS-уязвимость в mod_http2 из состава http-сервера Apache
Лицензия: CC-BY
Тип: Программы
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, th3m3, 15:15, 24/12/2016 [ответить] [смотреть все]
  • –4 +/
    Кроме хостингов, его реально ещё кто-то юзает в продакшене?
     
     
  • 2.3, leap42, 15:32, 24/12/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    да, использую, а разве есть какой-то другой простой, мощный, надёжный и хорошо д... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, Аноним, 15:37, 24/12/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Да, есть несколько. Минимум ещё 3.
     
     
  • 4.5, Andrey Mitrofanov, 15:56, 24/12/2016 [^] [ответить] [смотреть все]  
  • –9 +/
    Вы используете сразу 4 веб-вервера Матёро --... весь текст скрыт [показать]
     
     
  • 5.7, Syward, 17:30, 24/12/2016 [^] [ответить] [смотреть все]  
  • +8 +/
    Где он написал,  что он использует 4 сервера? Он написал,  что есть еще 3, минимум.
     
  • 4.6, Анын, 17:28, 24/12/2016 [^] [ответить] [смотреть все]  
  • +/
    >>Минимум ещё 3.

    Nginx.. а еще?

     
  • 4.8, leap42, 17:35, 24/12/2016 [^] [ответить] [смотреть все]  
  • –4 +/
    а назовите пожалуйста, только не пишите реверс-прокси nginx и lighttpd, которые ... весь текст скрыт [показать]
     
     
  • 5.9, анон9, 18:18, 24/12/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Назовите ваши критерии "мощного веб-сервера", а то гадать можно долго
     
     
  • 6.38, Аноним, 23:55, 08/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Всё строго как в статья для профессионалов, если выдает больше 1 киловата, значи... весь текст скрыт [показать]
     
  • 5.10, Аноним, 18:51, 24/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    А что у тебя там апач генерирует то, м PHP, Perl CGI Дак то тоже не заслуга ап... весь текст скрыт [показать]
     
     
  • 6.11, Shodan, 20:39, 24/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    плюс апача - большое кол-во модулей
     
     
  • 7.12, th3m3, 21:04, 24/12/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Что же за модули вы там всё юзаете, для типовых проектов, которые потом сервера ... весь текст скрыт [показать]
     
  • 7.33, lucentcode, 02:18, 13/01/2017 [^] [ответить] [смотреть все]  
  • +/
    > плюс апача - большое кол-во модулей

    То же самое касается и nginx.


     
     
  • 8.34, Andrey Mitrofanov, 09:32, 13/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Согласен Большое к-во модулей нжинкса -- плюс апача ... весь текст скрыт [показать]
     
  • 8.35, Shodan, 12:31, 13/01/2017 [^] [ответить] [смотреть все]  
  • +/
    У апача больше В nginx только недавно появилась возможность динамически подкл... весь текст скрыт [показать]
     
  • 3.25, лютый жабист__, 05:04, 27/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Апач до сих пор на каждого клиента форкается Как можно это называть надежным и ... весь текст скрыт [показать]
     
  • 3.27, XoRe, 21:31, 27/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Остается только гадать, что вы подразумеваете под мощный Могу предположить, ч... весь текст скрыт [показать]
     
  • 2.28, XoRe, 21:35, 27/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ещё дофига, или по старинке или просто он есть из коробки Но если учесть, сколь... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, ОлдФак, 15:30, 24/12/2016 [ответить] [смотреть все]  
  • –1 +/
    Я юзаю в конторе, для работы внутренней СРМки самописной
     
     
  • 2.13, Аноним, 04:14, 25/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https://imgur.com/a/UI6WL
     
     
  • 3.17, Googlebot Серёженьки, 19:33, 25/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Тож бот? ;-)
     
  • 3.29, Аноним, 09:53, 08/01/2017 [^] [ответить] [смотреть все]  
  • +/
    mod_php же не ту там
     
  • 1.15, Аноним, 12:30, 25/12/2016 [ответить] [смотреть все]  
  • +/
    Я юзаю Apache на локалке
     
  • 1.16, Starikashka, 13:16, 25/12/2016 [ответить] [смотреть все]  
  • +/
    Использую потому, что привык и знаю все настройки. Не вижу пока смысла перепрофилироваться.
     
     
  • 2.18, cmp, 00:22, 26/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У энжинкса дефолтный конфиг гораздо меньше, и под себя его сделать гораздо про... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 11:05, 26/12/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Как только вам понадобится отдать функционал mod_rewrite продвинутому бизнес п... весь текст скрыт [показать]
     
     
  • 4.23, sysoiv, 22:39, 26/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    не? http://nginx.org/ru/docs/http/ngx_http_rewrite_module.html
     
     
  • 5.24, angra, 01:03, 27/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ключевое слово было "отдать", то бишь речь об .htaccess, аналога которому в nginx нет.
     
  • 4.26, XoRe, 21:28, 27/12/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    > "продвинутому" бизнес пользователю,

    То есть хостинг. Как раз та ниша апача, где он ещё остался.
    Хотя остается только гадать, накой бизнес пользователю держать сайт на шаред хостинге.
    Особенно странно, что пользователь не боится пускать рекламный трафик на сервер с апачом :)

    А для ссылок, за которые заплачено, в nginx можно плодить сотни конструкций типа:
    location = /old/path/page { return 301 /new/path/page; }

     
     
  • 5.31, Аноним, 10:01, 08/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    вы видимо еще в 90 живете или не знаете нормальных хостеров есть такой вид хос... весь текст скрыт [показать]
     
     
  • 6.32, XoRe, 01:45, 13/01/2017 [^] [ответить] [смотреть все]  
  • +/
    > вы видимо еще в 90 живете. или не знаете нормальных хостеров.

    Вы видимо не правильно прочитали, что я написал, или прочитали, но не поняли.
    Я сказал, что хостинг - это та ниша, где ещё осталось полно апача.
    Но я не говорил, что на этих хостингах есть ТОЛЬКО апач и больше ничего.

     
  • 4.30, Аноним, 09:57, 08/01/2017 [^] [ответить] [смотреть все]  
  • +/
    суровые у вас пользователи - если лазят по htaccess для такой простейшей операц... весь текст скрыт [показать]
     
  • 1.36, serafimperfect010993, 18:39, 05/09/2017 [ответить] [смотреть все]  
  • +/
    Кто может проконсультировать по поводу переезда на https?
     
  • 1.37, serafimperfect010993, 18:45, 05/09/2017 [ответить] [смотреть все]  
  • +/
    ddd
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor