The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.12.2016 10:41  Релиз http-сервера Apache 2.4.25

Состоялся релиз HTTP-сервера Apache 2.4.25, в котором представлено 64 изменения, 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сборкой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25.

Из изменений можно отметить:

  • Устранено 5 уязвимостей:
    • CVE-2016-0736 - mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle). Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash);
    • CVE-2016-2161 - крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных;
    • CVE-2016-5387 - уязвимость под кодовым названием Httpoxy, позволяющая совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy;
    • CVE-2016-8740 - уязвимость в реализации HTTP/2, позволяющая осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;
    • CVE-2016-8743 - возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500;
  • В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности;
  • В mod_socache_memcache обеспечен вывод статистики memcache через mod_status;
  • Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230;
  • В запросах к прокси добавлена возможность указания незакодированных символов ';' в запросе и заголовке "Location:";
  • Добавлена директива RegisterHttpMethod для регистрации нестандартных методов HTTP;
  • В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в memcached;
  • В mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных о состоянии в HTTP-ответах с кодом 103;
  • В mod_http2 добавлена директива 'H2PushResource' для включения ранней отправки ресурсов методом PUSH до начала обработки основного запроса;
  • В mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах;
  • В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);
  • Обеспечен вывод ответа "408 Request Timeout" при при исчерпании таймаута в процессе чтения тела запроса;
  • В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через TLS.


  1. Главная ссылка к новости (http://www.mail-archive.com/an...)
  2. OpenNews: Релиз Apache Traffic Server 7.0
  3. OpenNews: В HTTP-сервере Apache 2.4.23 устранена уязвимость
  4. OpenNews: Увидел свет HTTP-сервер Apache 2.4.20
  5. OpenNews: Доступен http-сервер Apache 2.4.18
  6. OpenNews: DoS-уязвимость в mod_http2 из состава http-сервера Apache
Лицензия: CC-BY
Тип: Программы
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, th3m3 (ok), 15:15, 24/12/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Кроме хостингов, его реально ещё кто-то юзает в продакшене?
     
     
  • 2.3, leap42 (ok), 15:32, 24/12/2016 [^] [ответить]    [к модератору]
  • +1 +/
    да, использую, а разве есть какой-то другой простой, мощный, надёжный и хорошо документированный веб-сервер с открытым кодом?
     
     
  • 3.4, Аноним (-), 15:37, 24/12/2016 [^] [ответить]    [к модератору]
  • +2 +/
    Да, есть несколько. Минимум ещё 3.
     
     
  • 4.5, Andrey Mitrofanov (?), 15:56, 24/12/2016 [^] [ответить]    [к модератору]
  • –9 +/
    > Да, есть несколько. Минимум ещё 3.

    Вы используете сразу 4 веб-вервера? Матёро!--

     
     
  • 5.7, Syward (ok), 17:30, 24/12/2016 [^] [ответить]    [к модератору]
  • +8 +/
    Где он написал,  что он использует 4 сервера? Он написал,  что есть еще 3, минимум.
     
  • 4.6, Анын (ok), 17:28, 24/12/2016 [^] [ответить]    [к модератору]  
  • +/
    >>Минимум ещё 3.

    Nginx.. а еще?

     
  • 4.8, leap42 (ok), 17:35, 24/12/2016 [^] [ответить]     [к модератору]  
  • –4 +/
    а назовите пожалуйста, только не пишите реверс-прокси nginx и lighttpd, которые ... весь текст скрыт [показать]
     
     
  • 5.9, анон9 (?), 18:18, 24/12/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Назовите ваши критерии "мощного веб-сервера", а то гадать можно долго
     
     
  • 6.38, Аноним (-), 23:55, 08/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Всё строго как в статья для профессионалов, если выдает больше 1 киловата, значит мощный!
     
  • 5.10, Аноним (-), 18:51, 24/12/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    А что у тебя там апач генерирует то, м PHP, Perl CGI Дак то тоже не заслуга ап... весь текст скрыт [показать]
     
     
  • 6.11, Shodan (ok), 20:39, 24/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    плюс апача - большое кол-во модулей
     
     
  • 7.12, th3m3 (ok), 21:04, 24/12/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Что же за модули вы там всё юзаете, для типовых проектов, которые потом сервера ложат? :) Апач же жрёт, как не в себя.
     
  • 7.33, lucentcode (ok), 02:18, 13/01/2017 [^] [ответить]    [к модератору]  
  • +/
    > плюс апача - большое кол-во модулей

    То же самое касается и nginx.


     
     
  • 8.34, Andrey Mitrofanov (?), 09:32, 13/01/2017 [^] [ответить]    [к модератору]  
  • +/
    >> плюс апача - большое кол-во модулей
    > То же самое касается и nginx.

    Согласен! Большое к-во модулей нжинкса -- плюс апача.

     
  • 8.35, Shodan (ok), 12:31, 13/01/2017 [^] [ответить]    [к модератору]  
  • +/
    >> плюс апача - большое кол-во модулей
    > То же самое касается и nginx.

    У апача больше :)
    В nginx только недавно появилась возможность динамически подключать модули. И до сих пор некоторые модули можно собрать только статикой, пересобирая nginx каждый раз.

     
  • 3.25, лютый жабист__ (?), 05:04, 27/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Апач до сих пор на каждого клиента форкается? Как можно это называть надежным и мощным, любой школьник-кульхакер Вася положит твой сайт. Либо выест твои бабульки со счёта, если ты в хорошо масштабируемом облаке сидишь. Что одинаково неприятно.

    Ещё и список дырок поражает воображение, ветке 2.4 уже 100 лет, а до сих пор столько дурацких ляпов. Здравствуй быстрый си!

     
  • 3.27, XoRe (ok), 21:31, 27/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > да, использую, а разве есть какой-то другой простой, мощный, надёжный и хорошо
    > документированный веб-сервер с открытым кодом?

    Остается только гадать, что вы подразумеваете под "мощный".
    Могу предположить, что вы имеете в виду "может запускать php внутри себя", т.е. имеющий php_mod.

     
  • 2.28, XoRe (ok), 21:35, 27/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Кроме хостингов, его реально ещё кто-то юзает в продакшене?

    Ещё дофига, или по старинке или просто он есть из коробки.
    Но если учесть, сколько ещё используется в продакшене IIS, то apache выглядит не так плохо :)

     
  • 1.2, ОлдФак (ok), 15:30, 24/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Я юзаю в конторе, для работы внутренней СРМки самописной
     
     
  • 2.13, Аноним (-), 04:14, 25/12/2016 [^] [ответить]    [к модератору]  
  • +/
    https://imgur.com/a/UI6WL
     
     
  • 3.17, Googlebot Серёженьки (?), 19:33, 25/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Тож бот? ;-)
     
  • 3.29, Аноним (-), 09:53, 08/01/2017 [^] [ответить]    [к модератору]  
  • +/
    mod_php же не ту там
     
  • 1.15, Аноним (-), 12:30, 25/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я юзаю Apache на локалке
     
  • 1.16, Starikashka (?), 13:16, 25/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Использую потому, что привык и знаю все настройки. Не вижу пока смысла перепрофилироваться.
     
     
  • 2.18, cmp (ok), 00:22, 26/12/2016 [^] [ответить]    [к модератору]  
  • +/
    У энжинкса дефолтный конфиг гораздо меньше, и "под себя" его сделать гораздо проще, нету этого тупорылого тегоподобного синтаксиса, он не тянет с собой ничего, и пакет и бинарник гораздо меньше, как ни крути, памяти жрет меньше, вообще беспонятия на кой нужен апач, если это не какая-нибуть старая, 100 раз переделанная смска гвоздями прибитая к апачу.
     
     
  • 3.19, Аноним (-), 11:05, 26/12/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    Как только вам понадобится отдать функционал mod_rewrite продвинутому бизнес п... весь текст скрыт [показать]
     
     
  • 4.23, sysoiv (?), 22:39, 26/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    не? http://nginx.org/ru/docs/http/ngx_http_rewrite_module.html
     
     
  • 5.24, angra (ok), 01:03, 27/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Ключевое слово было "отдать", то бишь речь об .htaccess, аналога которому в nginx нет.
     
  • 4.26, XoRe (ok), 21:28, 27/12/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    > "продвинутому" бизнес пользователю,

    То есть хостинг. Как раз та ниша апача, где он ещё остался.
    Хотя остается только гадать, накой бизнес пользователю держать сайт на шаред хостинге.
    Особенно странно, что пользователь не боится пускать рекламный трафик на сервер с апачом :)

    А для ссылок, за которые заплачено, в nginx можно плодить сотни конструкций типа:
    location = /old/path/page { return 301 /new/path/page; }

     
     
  • 5.31, Аноним (-), 10:01, 08/01/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    вы видимо еще в 90 живете или не знаете нормальных хостеров есть такой вид хос... весь текст скрыт [показать]
     
     
  • 6.32, XoRe (ok), 01:45, 13/01/2017 [^] [ответить]    [к модератору]  
  • +/
    > вы видимо еще в 90 живете. или не знаете нормальных хостеров.

    Вы видимо не правильно прочитали, что я написал, или прочитали, но не поняли.
    Я сказал, что хостинг - это та ниша, где ещё осталось полно апача.
    Но я не говорил, что на этих хостингах есть ТОЛЬКО апач и больше ничего.

     
  • 4.30, Аноним (-), 09:57, 08/01/2017 [^] [ответить]     [к модератору]  
  • +/
    суровые у вас пользователи - если лазят по htaccess для такой простейшей операц... весь текст скрыт [показать]
     
  • 1.36, serafimperfect010993 (ok), 18:39, 05/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кто может проконсультировать по поводу переезда на https?
     
  • 1.37, serafimperfect010993 (ok), 18:45, 05/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ddd
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor