OpenForum RSS: Корректирующий релиз http-сервера Apache 2.4.3 https://www.opennet.ru/openforum/vsluhforumID3/86087.html Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4). <br><br><br>Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию.<br><br><br>Из изменений можно отметить:<br><br><br><br>- В mod_lua добавлена директива LuaAuthzProvider для создания провайдеров авторизации на языке Lua;<br><br>- Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: application/x-www-form-urlencoded" с целью избежания потерь данны Корректирующий релиз http-сервера Apache 2.4.3 (Алексей) https://www.opennet.ru/openforum/vsluhforumID3/86087.html#22 Sun, 26 Aug 2012 11:40:04 GMT Считаю, что с целю увеличения защищенности веб-сервера следует отключать те модули, которые не используются для решения определенной конкретной задачи. http://www.aleksey.crimea.ua/apache_modules.html<br> Корректирующий релиз http-сервера Apache 2.4.3 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/86087.html#20 Thu, 23 Aug 2012 12:21:21 GMT &gt; Ну если вам так нравится фекальная тема, то расскажите в чем преимущество <br>&gt; в поедании того же продукта за землеройкой? Всегда свежее и много? <br>&gt; Это актуально при пробивании на хавчик?<br><br>Фекальная тема нравится пользователям ветки 2.2. "Наркоманы" же, наоборот, предпочитают пищу, еще не бывшую в употреблении =)<br> Корректирующий релиз http-сервера Apache 2.4.3 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/86087.html#19 Thu, 23 Aug 2012 12:19:20 GMT &gt; А Вам чем-то 2.2 не устраивает? Или Вы просто за версией гонитесь?<br><br>Те, кто за версией не гонятся, сидят на Debian stable или CentOS.<br> Корректирующий релиз http-сервера Apache 2.4.3 (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID3/86087.html#18 Wed, 22 Aug 2012 06:03:52 GMT Да, убу нынче не торт, даже дебиановских пересобрать "жаждущим" не смогли. Какое уж там апстриим...&lt;//набрасываем-набрасываем&gt;<br> Корректирующий релиз http-сервера Apache 2.4.3 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/86087.html#17 Wed, 22 Aug 2012 02:28:41 GMT Продукты, которые сменили мажорный или минорный номер версии и содержат новые функции. Которые могут вызывать проблемы обратной совместимости версий. Обычно попадают в дистрибутив только к следующему релизу дистрибутива ОС. А до этого момента они помещаются в тестовый репозиторий. Связано это с тем что, все продукты, которые взаимодействуют каким либо образом с данным продуктом не были полностью проверены (на совместимость). Более того некоторые продукты при смене мажорных или минорных версий, меняют так же мажорные или минорные версии библиотек если такие имеются в данном продукте. Поэтому при смене Apache с версии 2.2 на 2.4 необходимо перекомпилировать, а иногда даже обновить все бинарные пакеты от него зависящие. Поэтому такие обновления обычно подготавливают к релизу дистрибутива ОС, и не пускают такое обновление для массового применения. <br><br>Есть дистрибутивы ОС, где используется непрерывный цикл обновлений и в таком дистрибутиве вы найдете новую версию продукта сразу же после того как она будет полност Корректирующий релиз http-сервера Apache 2.4.3 (pro100master) https://www.opennet.ru/openforum/vsluhforumID3/86087.html#16 Tue, 21 Aug 2012 19:54:35 GMT а почему вы "киллер-фичи" ставите сначала в продакш, потом в тестовый пул, а не наоборот?<br> Корректирующий релиз http-сервера Apache 2.4.3 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/86087.html#15 Tue, 21 Aug 2012 19:08:59 GMT В генте кстати 2.4.3 еще нету, но есть 2.4.2, который сильно замаскирован.<br> Корректирующий релиз http-сервера Apache 2.4.3 (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/86087.html#13 Tue, 21 Aug 2012 13:05:37 GMT +1!<br> Корректирующий релиз http-сервера Apache 2.4.3 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/86087.html#12 Tue, 21 Aug 2012 11:43:10 GMT &gt; В каком дистрибутиве вообще 2.4 есть? Во FreeBSD нет тоже его в <br>&gt; портах. Может быть только в генту, но они наркоманы и им <br>&gt; можно :) <br><br>Вы полагаете, что цифры в релизе ничего не значат. Прочитайте про разницу веток Apache 2.2 и 2.4 может быть тогда поймете разницу. Отсутствие новой версии продукта в разных дистрибутивах не говорит о том, что эта версия продукта хуже, чем предыдущая. Это говорит только о том, что все продукты, которые взаимодействуют каким либо образом с данным продуктом не были полностью проверены. На это нужно время, если у данного продукта есть майнтейнер в том или ином дистрибутиве.<br>