Вышел корректирующий релиз http-сервера Apache 2.2.15

06.03.2010 13:28

Вышел релиз http-сервера Apache 2.2.15 в котором устранены 4 уязвимости и внесено 28 исправлений.

Исправленные уязвимости:

В модуль mod_ssl добавлен код, реализующий новый метод (RFC 5746, для работы требуется наличие OpenSSL 0.9.8m) безопасного выполнения операций согласования для установленного соединения (renegotiation), что делает невозможным проведение атаки по подстановке данных в устанавливаемое между двумя точками защищенное соединение. Вернуться к использованию старого алгоритма можно через использование опции 'SSLInsecureRenegotiation'.
Функция "ap_proxy_ajp_request()" из состава модуля mod_proxy_ajp при определенных обстоятельствах возвращает код ошибки (HTTP_INTERNAL_SERVER_ERROR), что может быть использовано злоумышленником для вызова отказа в обслуживании через отправку специальным образом оформленных запросов, переводящих бэкенд-сервер в состояние кеширования ошибки до истечения таймаута;
Модуль mod_isapi может выгрузить ISAPI-модуль до завершения обработки последнего запроса, что потенциально может привести к передаче управления по несуществующему указателю;
Ошибка в коде обработки HTTP-заголовков при обработке подзапросов может привести к утечке информации, фигурирующей в другом запросе при использовании многопоточного MPM-модуля;

Из изменений можно отметить:

Устранены ошибки общего плана в модулях: mod_reqtimeout, mod_proxy_ajp, mod_negotiation, mod_proxy_http, mod_ssl, mod_authnz_ldap, mod_filter, mod_mime, mod_proxy, mod_charset_lite, mod_ldap, mod_rewrite, mod_cache, mod_mime;
В mod_cache реализован новый механизм блокировок, направленный на защиту бэкенд-сервера от перегрузки в ситуации наводнения запросами;
В mod_log_config добавлена поддержка опции "R", позволяющей отразить в логе обработчик каждого запроса;
В mod_include появилась возможность контроля удаления заголовков Last-Modified и ETag при использовании фильтра INCLUDES, что позволяет при необходимости организовать кеширование ответов. Исправлено устанавливаемое по умолчанию значение директивы SSIAccessEnable;
В mod_authnz_ldap добавлена поддержка директивы AuthLDAPBindAuthoritative позволяющей в случае сбоя подключения к основному LDAP серверу провести аутентификацию на запасном;
В mod_proxy и mod_proxy_http добавлена поддержка внешних https-прокси, использующих метод HTTP CONNECT;
В mod_disk_cache и mod_mem_cache добавлен код для предотвращения кеширования не до конца выполненных запросов;
В mod_rewrite добавлена поддержка определения схемы scgi;
В mod_ssl и утилите ab восстановлена совместимость со старыми версиями библиотеки OpenSSL (младше 0.9.7g).

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/25696-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (7)

1.1, аноним (?), 00:46, 07/03/2010 [ответить]	–3 +/–
пых 5.2.13 win32 покрошился. в нём openssl 0.9.8.11(k), а в апаче свежий .13(m)

2.2, User294 (ok), 07:02, 07/03/2010 [^] [^^] [^^^] [ответить]	–2 +/–
Да... а кто-то говорил что в винде все просто и без геморроя. Но пакетный манагер в любом нормальном линухе с хоть немного адекватными майнтайнерами таких проблем не допустит как класса.

3.4, konst (??), 22:39, 07/03/2010 [^] [^^] [^^^] [ответить]	+/–
???. Допустит. Именно как класса. Сейчас - вероятность меньше, но есть. У wind'ы проблема просто другого уровня. Но в linux на данный момент пока не все чики-чики. Чего уж скрывать?! ---- PS. Особенно, касается linux-ов уровня ubuntu. Чтобы решить эту проблему (несовместимость версий сторонних библиотек), - нужно применять глобальный подход. А пока каждый решает - как могет. --- А RH-подобных систем - чуть получше. Но проблемы все одно - пока есть и будут, - пока linux'ы не вырабатуют единый подход к решению подобных траблов...

4.6, аноним (?), 02:35, 08/03/2010 [^] [^^] [^^^] [ответить]	+/–
>У wind'ы проблема просто другого уровня. При чём здесь вообще проблемы win? Обе программы запускаются без проблем, но налицо бинарная несовместимость между _сторонним_ сервером apache и _сторонним_ модулем к нему php по причине смены версии _сторонней_ библиотеки openssl. В общем случае проблема решаема. Однако в данной комбинации, попробовав установить вышеозначенные предварительно скомпилированные пакеты, рискуешь нарваться на краш. Проблемными расширениями оказались php_curl, php_openssl. На win-машине, в частности, занимаюсь разработкой под php. Обнаружив такую бяку, решил черкнуть пару слов каментов в надежде, что это сэкономит кому-нибудь несколько минут времени. Но это же бля опеннет, поэтому реакция соответствующая. Гордись, максим, в т.ч. твоя заслуга

5.8, User294 (ok), 05:03, 08/03/2010 [^] [^^] [^^^] [ответить]

+/–

> При чём здесь вообще проблемы win?

Догадайтесь с трех раз. Наверное при том что у других систем есть средства сделать либу доступную всем и потому никто не таскает 100500 версий одной и той же либы. Почему-то в пингвинах с пакетными манагерами опач и пых юзают 1 и ту же либу, которая имеется в 1 экземпляре а майнтайнеры следят чтобы она еще и не дырявая была. В итоге - да, можно сэкономить себе дохрена времени. Если не пользоваться системами с тупыми граблями, например.

> Гордись, максим, в т.ч. твоя заслуга

Да просто вы тут очень кстати попались как наглядная иллюстрация.

4.7, User294 (ok), 04:25, 08/03/2010 [^] [^^] [^^^] [ответить]

+/–

>???. Допустит. Именно как класса. Сейчас - вероятность меньше, но есть.

При мало-мальски вменяемых майнтайнерах такого не бывает, извините.

>У wind'ы проблема просто другого уровня.

Да, конечно. Там тупо нет разделения на модули, разбиения на пакеты и в итоге наблюдается просто большая помойка где все свалено в кучу а "shared" либы - нифига не shared потому что все проги их таскают сами, только для себя и никак иначе (стандартных методов попросить у системы вон ту либу или сделать вон ту либу доступной всем - по сути нет). Апдейтить либы будет тоже, разумеется, Пушкин (все-равно уследить за 100500 копий той или иной либы нереально, особенно если ее статически влинковали). Поэтому до сих пор можно найти виндузятников у которых дырявая версия zlib, openssl, libpng и чего там еще в какой-то необновленной программке. А потом виндузятники искренне удивляются - "ой, откуда же в моей системе столько малвари?!". Ну вот оттуда, блин. То что есть в виндозе - не соответствует современным реалиям. Делалось в девяностые, когда интернетов и хаксоров в них - не было.

>Но в linux на данный момент пока не все чики-чики.

"Доктор Ватсон не заметил явных проблем". Если юзать в режиме "юзверга" - проблем нет как класса. Если в режиме "разработчика", "экспериментатора" и прочая - ну вы знали на что шли и там все претензии к себе и своим рукам сугубо.

>PS. Особенно, касается linux-ов уровня ubuntu.

Что-то не заметил в убунтах никаких проблем с версиями библиотек. Если ставится опач то уж наверное у пыха и опача юзается одинаковый openssl, блин. А не таскается 100500 разных.

>нужно применять глобальный подход.

Репозитории называются. Есть одна версия SSLной либы. И все юзают ее, фигле. Вполне себе решение.

>А RH-подобных систем - чуть получше.

Чем? Там принципиально иная логика управления пакетами?

>не вырабатуют

Чего-чего? Не надо нам багов, пожалуйста :)

3.5, konst (??), 22:42, 07/03/2010 [^] [^^] [^^^] [ответить]	+/–
в догонку: суть: linux'овые манагеры (e.g. yum) тоже просто обломаются при попытке установить несовместимое... Спустя пару днев - починят....

игнорирование участников | лог модерирования

Добавить комментарий

Текст: