Apache 2.2.17

Увидел свет корректирующий релиз http-сервера Apache 2.2.12 в котором устранено 7 незначительных уязвимостей и внесено 38 изменений.

Исправлены уязвимости:

• Возможность совершения DoS атаки через создание излишней нагрузки на CPU, через создание серии "оборванных" запросов больших файлов, которые будут до конца обработаны такими ресурсоемкими модулями, как mod_deflate;
• Уязвимость, позволяющая локальному пользователю организовать выполнение команды через SSI конструкцию "#exec" не имея на это полномочий ("AllowOverride ... Options=IncludesNoEXEC" в httpd.conf), если в .htaccess файле указать "Options Includes";
• Ошибка в модуле mod_proxy могла быть использована злоумышленниками для вызова отказа в обслуживании через чрезмерное потребление ресурсов CPU после отправки специального запроса к прокси;
• Уязвимость в mod_proxy_ajp позволяла злоумышленнику получить содержимое предыдущего запроса, в случае проблем с его доставкой;
• Три уязвимости в утилите APR.

Из изменений можно отметить:

• Накопившиеся ошибки были устранены в модулях: mod_include, mod_rewrite, mod_deflate, mod_alias, mod_proxy, mod_negotiation, mod_substitute, mod_disk_cache/mod_mem_cache, mod_ext_filter, mod_cgid, mod_ldap;
• В mod_include добавлена поддержка генерации не-ASCII символов в качестве элементов в SSI;
• В модуле mod_disk_cache появилась возможность отключения использования sendfile через задание глобальной директивы 'EnableSendfile off';
• В prefork MPM исправлена ошибка, приводившая к экстренному завершению дочерних процессов при выполнении graceful-метода перезапуска в конфигурациях с несколькими слушающими сокетами;
• Новый синтаксис для перенаправления логов процессу-фильтру: при задании "||process args" процесс будет вызван напрямую, без промежуточного запуска командного интерпретатора/шела (при задании "|$command line" процесс будет запущен через shell);
• В mod_rewrite представлен новый флаг "DiscardPathInfo|DPI" для предотвращения добавления PATH_INFO при каждой замене до рассмотрения следующего правила замены;
• В mod_cache добавлена возможность запрещения сохранения данных в кэш при определении переменной 'no-cache' в запросе;
• При обработке CGI при наступлении таймаута до появления первой строки заголовка теперь выдается код 504 (Gateway timeout), вместо 500;
• В mod_ssl добавлена поддержка индикации имени сервера (RFC 4366) и улучшена поддержка работы виртуальных хостов с разделением по именам. Добавлены новые директивы SSLRenegBufferSize, SSLProxyCheckPeerExpire и SSLProxyCheckPeerCN.

---

Downloads (~5,0 Mb)_http://www.sai.msu.su...2.2.12.tar.bz2

Исправления, представленные в Apache 2.2.17:

* В prefork MPM исправлена проблема с обработкой последнего запроса, в случае gracefull-перезапуска;
* В mod_reqtimeout неправильно выставлялись таймауты для соединений через mod_proxy и обработчиков протоколов, подобных mod_ftp;
* В Proxy-балансировщике добавлена поддержка установки кода HTTP-ошибки на основании данных HTTP-ответа от бэкенда;
* В mod_authnz_ldap при установке директивы AuthLDAPCharsetConfig теперь перекодированию в UTF-8 подлежат также и пароли;
* Добавлена проверка владельца символических ссылок, в случае когда одновременно активны директивы FollowSymlinks и SymlinksIfOwnerMatch;
* Исправлена проверка происхождения ссылки в SymlinksIfOwnerMatch;
* В mod_headers включена опция замены нескольких подпадающих под маску значений (multi-match-and-replace);
* В mod_log_config при указании ${cookie}C совпадения ищутся только среди имен cookie, вместо поиска подстроки по всем данным;
* В mod_dir и mod_negotiation обеспечено прохождение информации о выходном фильтре для вновь созданных подзапросов, что позволяет впоследствии использовать их в роли полноценных запросов в рамках внутреннего редиректа;
* В коде ротации логов устранено потенциальное переполнение буфера, при задании администратором в файле конфигурации множественного файлового пути к логам.
* В mod_ssl устранено перекрытие вызова memcpy;
* При обработке заголовка "Host:" c цифровыми данными, часть этих данных больше не воспринимается при определенных ситуациях как номер порта;
* Представлена ранее недокументированная опция httpd "-T", позволяющая отключить проверку на наличие DocumentRoot в момент запуска.

---

Downloads (~4,7 Mb)_http://www.sai.msu.su...2.2.17.tar.bz2