Корректирующий релиз http-сервера Apache 2.4.3

Новости

Корректирующий релиз http-сервера Apache 2.4.3

Подробности

Доступен корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений. Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию.

Из изменений можно отметить:

  • В mod_lua добавлена директива LuaAuthzProvider для создания провайдеров авторизации на языке Lua.
  • Упрощена проверка содержимого при передаче POST-запроса с заголовком "Content-Type: application/x-www-form-urlencoded" с целью избежания потерь данных с добавленным указанием кодировки.
  • В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 10.0, так как они расходятся со спецификацией DNT).
  • В mod_rewrite устранён крах при хранении RewriteMaps правил в базе dbd; В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне TLS.
  • В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip переименован в client_ip. Для разбора параметров POST-запроса добавлена функция parsebody.
  • В mod_setenvif обеспечена компиляции глобальных регулярных выражений на этапе запуска, что позволило уменьшить потребление памяти, особенно при использовании .htaccess.
  • При указании в mod_so через опции LoadFile и LoadModule имени файла без пути, если файл не найден в директории сервера, то он будет открыт из системных библиотечных путей, видимых через dlopen().
  • В mod_rewrite добавлена опция "AllowAnyURI".

Источник: http://www.opennet.ru

Добавить комментарий


Защитный код
Обновить

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter