Вышла новая версия популярного web-сервера Apache — 2.1.8 Beta. Релиз выпущен ввиду найденной в mod_ssl («SSLVerifyClient») уязвимости (CAN-2005-2700). Исправления также затронули и другие модули: mod_proxy/mod_proxy_balancer, mod_disk_cache, mod_cgid. Для Linux 2.0 убрана поддержка нитевого MPM (Multi-Processing Module). Home_http://www.apache.org/ Изменения_http://www.apache.org...pd/CHANGES_2.1 Downloads (~4.6 Mb)_http://apache.rinet.r...8-beta.tar.bz2
некоммерческая организация Apache Foundation представила новую стабильную версию web-сервера Apache — 2.2.0. Нововведений в Apache 2.2.0 множество, главные из которых сводятся к следующим: появился новый механизм фильтрации, улучшена работа с кэшем, добавлен механизм AJP Proxy, появилась возможность балансировки нагрузки на сервер, изменена система останова сервера, добавлена поддержка больших файлов и событий MPM, кроме того, были переработаны механизмы аутентификации и авторизации. CHANGES_http://www.apache.org...pd/CHANGES_2.2 Unix Source (~4.6 Mb)_http://apache.rinet.r...-2.2.0.tar.bz2
ЭЖД, 20.05.2006 - 14:25
Apache 1.3.36
"Reverted SVN rev #396294 due to unwanted regression. The new feature introduced in 1.3.35 (Allow usage of the "Include" configuration directive within previously "Include"d files) has been removed in the meantime. Unix Source (~2,36 Mb)_http://www.sai.msu.su..._1.3.36.tar.gz Win32 Binary_http://www.sai.msu.su...x86-no_src.exe
ЭЖД, 2.08.2006 - 19:42
Apache HTTP Server 2.2.3
28 июля был представлен новый релиз популярного web-сервера с открытым кодом Apache HTTP Server 2.2.3. В релизе Apache 2.2.3 устранена уязвимость в безопасности (CVE-2006-3747, затрагивает mod_rewrite), а также проведены небольшие исправления в таких компонентах, как mod_authn_alias, mod_authnz_ldap, mod_cache, mod_mem_cache, mod_speling, mod_dbd, mod_autoindex, mod_charset_lite, и других. CHANGES_2.2_http://www.apache.org...pd/CHANGES_2.2 Unix (~4,68)_http://apache.rinet.r...-2.2.3.tar.bz2 Win32 Binary (MSI Installer) (~4,23 Mb)_http://apache.rinet.r...x86-no_ssl.msi
*) SECURITY: CVE-2007-6388 (cve.mitre.org) mod_status: Ensure refresh parameter is numeric to prevent a possible XSS attack caused by redirecting to other URLs. Reported by SecurityReason. [Mark Cox]
*) SECURITY: CVE-2007-3847 (cve.mitre.org) mod_proxy: Prevent reading past the end of a buffer when parsing date-related headers. PR 41144. With Apache 1.3, the denial of service vulnerability applies only to the Windows and NetWare platforms. [Jeff Trawick]
*) More efficient implementation of the CVE-2007-3304 PID table patch. This fixes issues with excessive memory usage by the parent process if long-running and with a high number of child process forks during that timeframe. Also fixes bogus "Bad pid" errors. [Jim Jagielski, Jeff Trawick]
Анонсирован выход релиза Apache 2.2.10. В новой версии устранена неопасная XSS (межсайтовый скриптинг) уязвимость в модуле mod_proxy_ftp, внесено 18 изменений, затрагивающих такие модули как mod_proxy_http, mod_ssl, mod_authn_alias, mod_charset_lite, mod_dav_fs, mod_cgid, mod_headers, mod_rewrite.
Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
В mod_proxy_balancer добавлен метод балансировки 'bybusyness', учитывающий загруженность бэкенда. В mod_rewrite появились 2 новые опции, управляющие отправкой Cookie: secure (cookie отправляется только по https) и HttpOnly (для активации возможности некоторых браузеров по блокированию передачи cookie в JavaScript код). Downloads_http://apache.rinet.r...2.2.10.tar.bz2
ЭЖД, 1.08.2009 - 18:12
Apache 2.2.12
Увидел свет корректирующий релиз http-сервера Apache 2.2.12 в котором устранено 7 незначительных уязвимостей и внесено 38 изменений.
Исправлены уязвимости:
Возможность совершения DoS атаки через создание излишней нагрузки на CPU, через создание серии "оборванных" запросов больших файлов, которые будут до конца обработаны такими ресурсоемкими модулями, как mod_deflate;
Уязвимость, позволяющая локальному пользователю организовать выполнение команды через SSI конструкцию "#exec" не имея на это полномочий ("AllowOverride ... Options=IncludesNoEXEC" в httpd.conf), если в .htaccess файле указать "Options Includes";
Ошибка в модуле mod_proxy могла быть использована злоумышленниками для вызова отказа в обслуживании через чрезмерное потребление ресурсов CPU после отправки специального запроса к прокси;
Уязвимость в mod_proxy_ajp позволяла злоумышленнику получить содержимое предыдущего запроса, в случае проблем с его доставкой;
Три уязвимости в утилите APR.
Из изменений можно отметить:
Накопившиеся ошибки были устранены в модулях: mod_include, mod_rewrite, mod_deflate, mod_alias, mod_proxy, mod_negotiation, mod_substitute, mod_disk_cache/mod_mem_cache, mod_ext_filter, mod_cgid, mod_ldap;
В mod_include добавлена поддержка генерации не-ASCII символов в качестве элементов в SSI;
В модуле mod_disk_cache появилась возможность отключения использования sendfile через задание глобальной директивы 'EnableSendfile off';
В prefork MPM исправлена ошибка, приводившая к экстренному завершению дочерних процессов при выполнении graceful-метода перезапуска в конфигурациях с несколькими слушающими сокетами;
Новый синтаксис для перенаправления логов процессу-фильтру: при задании "||process args" процесс будет вызван напрямую, без промежуточного запуска командного интерпретатора/шела (при задании "|$command line" процесс будет запущен через shell);
В mod_rewrite представлен новый флаг "DiscardPathInfo|DPI" для предотвращения добавления PATH_INFO при каждой замене до рассмотрения следующего правила замены;
В mod_cache добавлена возможность запрещения сохранения данных в кэш при определении переменной 'no-cache' в запросе;
При обработке CGI при наступлении таймаута до появления первой строки заголовка теперь выдается код 504 (Gateway timeout), вместо 500;
В mod_ssl добавлена поддержка индикации имени сервера (RFC 4366) и улучшена поддержка работы виртуальных хостов с разделением по именам. Добавлены новые директивы SSLRenegBufferSize, SSLProxyCheckPeerExpire и SSLProxyCheckPeerCN.
* В prefork MPM исправлена проблема с обработкой последнего запроса, в случае gracefull-перезапуска; * В mod_reqtimeout неправильно выставлялись таймауты для соединений через mod_proxy и обработчиков протоколов, подобных mod_ftp; * В Proxy-балансировщике добавлена поддержка установки кода HTTP-ошибки на основании данных HTTP-ответа от бэкенда; * В mod_authnz_ldap при установке директивы AuthLDAPCharsetConfig теперь перекодированию в UTF-8 подлежат также и пароли; * Добавлена проверка владельца символических ссылок, в случае когда одновременно активны директивы FollowSymlinks и SymlinksIfOwnerMatch; * Исправлена проверка происхождения ссылки в SymlinksIfOwnerMatch; * В mod_headers включена опция замены нескольких подпадающих под маску значений (multi-match-and-replace); * В mod_log_config при указании ${cookie}C совпадения ищутся только среди имен cookie, вместо поиска подстроки по всем данным; * В mod_dir и mod_negotiation обеспечено прохождение информации о выходном фильтре для вновь созданных подзапросов, что позволяет впоследствии использовать их в роли полноценных запросов в рамках внутреннего редиректа; * В коде ротации логов устранено потенциальное переполнение буфера, при задании администратором в файле конфигурации множественного файлового пути к логам. * В mod_ssl устранено перекрытие вызова memcpy; * При обработке заголовка "Host:" c цифровыми данными, часть этих данных больше не воспринимается при определенных ситуациях как номер порта; * Представлена ранее недокументированная опция httpd "-T", позволяющая отключить проверку на наличие DocumentRoot в момент запуска. Downloads (~4,7 Mb)_http://www.sai.msu.su...2.2.17.tar.bz2