The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз http-сервера Apache 2.4.55 с устранением уязвимостей

20.01.2023 12:44

Опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости:

  • CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки).
  • CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.
  • CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка "If:".

Наиболее заметные изменения, не связанные с безопасностью:

  • mod_proxy_http2 переведён на общий с другими прокси-модулями механизм обработки типа содержимого ответов, приходящих от бэкендов.
  • В mod_proxy_hcheck учтено значение таймаута, выставленное для рабочих процессов.
  • В mod_http2 частично переписан код обработки соединений и потоков. Для отслеживания основного соединения и обработки ввода/вывода для запросов и ответов задействована функция pollset из APR (Apache Portable Runtime). Обеспечено удаление начальных и финальных пробелов и табуляций в значениях заголовков ответов и запросов.
  • В mod_proxy_hcheck в hcmethod разрешены запросы HTTP/1.1 с использованием методов GET11, HEAD11 и OPTIONS11. Обеспечена корректная проверка поддержки AJP/CPING.
  • В mod_authn_core добавлена поддержка выражений в AuthName и AuthType.
  • В mod_md добавлена директива MDStoreLocks, предназначенная для блокировки совместного хранилища для обеспечения корректной активации обновлённых сертификатов при одновременном перезапуске нескольких узлов кластера.
  • В mod_heartmonitor разрешено указание директивы "HeartbeatMaxServers 0" для использования файлового хранилища вместо slotmem.
  • В mod_dav добавлена опция DAVlockDiscovery для отключения определения блокировок WebDAV.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Выпуск http-сервера Lighttpd 1.4.68
  3. OpenNews: Релиз http-сервера Apache 2.4.54 с устранением уязвимостей
  4. OpenNews: Протокол HTTP/3.0 получил статус предложенного стандарта
  5. OpenNews: Компания Intel развивает протокол HTTPA, дополняющий HTTPS
  6. OpenNews: Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/58503-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Аноним (4), 12:58, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    замечательно.

    только что там с индейским иском?

     
     
  • 2.7, Аноним (7), 13:31, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Проблемы индейцев, шерифа не волнуют.
     
  • 2.19, Аноним (19), 21:31, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Слита их петиция.
     

  • 1.8, DEF (?), 14:03, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Когда этот недосервер http/3 станет поддерживать?
     
     
  • 2.9, Аноним (9), 14:10, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и что ты с ним будешь делать?
     
  • 2.14, Омномним (?), 15:32, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Очень надеюсь, что никогда.
    Из интересного - QUIC стало побольше, и на него стали реагировать детекторы DDoS.
     
  • 2.23, Ilya Indigo (ok), 16:23, 21/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы вообще в курсе, что http/3 БЕЗ http/1.1 или http/2 НЕ работает, и запросы сначала идут через младший протокол, который в заголовках сообщает клиенту, что он поддерживает http/3 и только потом клиент, если сочтёт нужным, подключается по http/3.
    И так повторяется при каждом новом запросе.
     

  • 1.10, Аноним (10), 14:33, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Единственный нормальный сервер. Везде его суём и активно используем.
    Все микросервисы работают через него.
    Статику тоже кешируем, используем как прокси и баллансер.

    Мякотка. Столько лет, и все ещё самый современный и актуальный HTTP сервер!

     
     
  • 2.11, Аноним (10), 14:33, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всю нашу нагрузку тоже держит. Ни разу не падал.
     
     
  • 3.13, ОООноним (?), 14:44, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Влажные фантазии однима локалхоста.
     
  • 2.12, Аноним (12), 14:43, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Аналогично! Главное использовать php-fpm.
     
  • 2.15, Омномним (?), 15:33, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот кстати да, слез со всего огорода на апач, проблем на самом деле поубавилось.
     

  • 1.16, InuYasha (??), 18:45, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Который десяток лет уже он радует мир фичами .htaccess и шуткой "Apache is running" )
     
     
  • 2.17, Аноним (-), 19:07, 20/01/2023 Скрыто модератором
  • +1 +/
     
  • 2.18, BrainFucker (ok), 20:25, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    502 bad gateway nginx
     
     
  • 3.20, suffix (ok), 22:32, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ни nginx ни apache по отдельности не раскрывают весь свой потенциал, а вот в связке  друг с другом это лучший коктейль :) !
     
     
  • 4.21, BrainFucker (ok), 22:39, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сейчас ещё модно в этот коктейль docker добавлять: если на сервере не один сайт, то каждому сайту по апачу, каждый апач в своём докере, ибо нефиг, плюс докер с mysql и докер с nginx, который проксирует всё к тем апачам o_O Или в некоторых упоротых случайх кажому сайту по отдельному докеру с mysql (или postgres)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру