Apache 2.2.12
Вышел релиз http-сервера Apache 2.2.12
🕛 29.07.2009, 12:49
Увидел свет корректирующий релиз http-сервера Apache 2.2.12 в котором устранено 7 незначительных уязвимостей и внесено 38 изменений.Исправлены уязвимости:
* Возможность совершения DoS атаки через создание излишней нагрузки на CPU, через создание серии "оборванных" запросов больших файлов, которые будут до конца обработаны такими ресурсоемкими модулями, как mod_deflate; * Уязвимость, позволяющая локальному пользователю организовать выполнение команды через SSI конструкцию "#exec" не имея на это полномочий ("AllowOverride ... Options=IncludesNoEXEC" в httpd.conf), если в .htaccess файле указать "Options Includes"; * Ошибка в модуле mod_proxy могла быть использована злоумышленниками для вызова отказа в обслуживании через чрезмерное потребление ресурсов CPU после отправки специального запроса к прокси; * Уязвимость в mod_proxy_ajp позволяла злоумышленнику получить содержимое предыдущего запроса, в случае проблем с его доставкой; * Три уязвимости в утилите APR.
Из изменений можно отметить:
* Накопившиеся ошибки были устранены в модулях: mod_include, mod_rewrite, mod_deflate, mod_alias, mod_proxy, mod_negotiation, mod_substitute, mod_disk_cache/mod_mem_cache, mod_ext_filter, mod_cgid, mod_ldap, * В mod_include добавлена поддержка генерации не-ASCII символов в качестве элементов в SSI; * В модуле mod_disk_cache появилась возможность отключения использования sendfile через задание глобальной директивы 'EnableSendfile off'; * В prefork MPM исправлена ошибка, приводившая к экстренному завершению дочерних процессов при выполнении graceful-метода перезапуска в конфигурациях с несколькими слушающими сокетами; * Новый синтаксис для перенаправления логов процессу-фильтру: при задании "||process args" процесс будет вызван напрямую, без промежуточного запуска командного интерпретатора/шела (при задании "|$command line" процесс будет запущен через shell); * В mod_rewrite представлен новый флаг "DiscardPathInfo|DPI" для предотвращения добавления PATH_INFO при каждой замене до рассмотрения следующего правила замены; * В mod_cache добавлена возможность запрещения сохранения данных в кэш при определении переменной 'no-cache' в запросе; * При обработке CGI при наступлении таймаута до появления первой строки заголовка теперь выдается код 504 (Gateway timeout), вместо 500; * В mod_ssl добавлена поддержка индикации имени сервера (RFC 4366) и улучшена поддержка работы виртуальных хостов с разделением по именам. Добавлены новые директивы SSLRenegBufferSize, SSLProxyCheckPeerExpire и SSLProxyCheckPeerCN.