Релиз http-сервера Apache 2.4.9

Доступен релиз http-сервера Apache 2.4.9, в котором представлено 35 изменений. Выпуск 2.4.8 был пропущен из-за исправления в последний момент проблемы в mod_ssl, проявляющейся в виде краха при выполнении вызова SSL_get_certificate в случае использования некоторых устаревших версий OpenSSL, а также исправления ошибки в mod_lua, приводящей к некорректной обработке LuaMapHandler при определённом стечении обстоятельств.

По сравнению с выпуском 2.4.7 в новой версии устранено две уявзимости:

  • CVE-2014-0098 - возможность инициирования краха mod_log_config при попытке сохранения в лог урезанных Cookie, в которых указано только имя и пропущено значение (теперь в лог сохраняются только пары cookie=value).
  • CVE-2013-6438 - возможность вызова отказа в обслуживании при обработке модулем mod_dav специально оформленных запросов "DAV WRITE" из-за неверного расчёта размера данных в условиях обрезания лидирующих пробелов.

Наиболее заметные улучшения:

  • В директивы LocationMatch, DirectoryMatch, FilesMatch и ProxyMatch добавлена поддержка именованных групп и обратных ссылок (backreference) в регулярных выражениях (для работы требуется сборка со свежей версией PCRE);
  • В mod_rewrite в директиве RewriteOptions появилась поддержка опций InheritDown, InheritDownBefore и IgnoreInherit для организации передачи правил RewriteRules из родительской области в дочернюю без явной настройки каждой дочерней области. Добавлена поддержка переменной %{CONN_REMOTE_ADDR}, вариант %{REMOTE_ADDR} с адресом инициатора соединения;
  • В mod_dir добавлена директива DirectoryCheckHandler для обеспечения пропуска выполнения обработчика в случае если он уже был установлен. Отключен поиск DirectoryIndex и DirectorySlash для URL, уже переписанных в mod_rewrite;
  • В mod_proxy добавлена поддержка использования unix domain sockets в качестве точки для взаимодействия с бэкендом. Прекращена поддержка недокументированного синтаксиса "Proxy ~ wildcard-url" который эквивалентен "ProxyMatch wildcard-url";
  • В поддержку HTTP/1.1 внесены связанные с обработкой конфликтов TE/CL исправления, рекомендованные в документе draft-ietf-httpbis-p1-messaging-23;
  • В mod_ssl отключено выполнение сравнения параметров SNI и заголовка Host в случае запроса к прокси. Для директив SSLCertificateFile и SSLCertificateKeyFile прекращена зависимость от жестко заданных в коде типов алгоритмов. Объявлена устаревшей поддержка директивы SSLCertificateChainFile. Добавлена директива SSLOpenSSLConfCmd для использования команд конфигурации OpenSSL;
  • Устранена проблема с длительной задержкой при использовании модели prefork и выполнения перезапуска в режиме graceful;
  • Для всех версий старше FreeBSD 5 отключен по умолчанию маппинг в IPv4 для ожидающих соединение сокетов (ранее указанная поддержка была отключена только для FreeBSD 5);
  • В mod_remoteip обеспечено корректное заполнение поля proxy_ips;
  • В mod_lua добавлена возможность возврата результатов запроса из БД в форме хэша (row-name/value) вместо массива (row-number/value), обновлена реализация r:setcookie(),
  • Если невозможно декодировать сессию, то mod_session теперь всегда ведёт себя как в случае если сессии вообще нет. Устранены проблемы при интерпретации директив SessionInclude и SessionExclude;
  • В mod_proxy_fcgi в качестве таймаута задейсвовано значение apr_socket_timeout_get вместо жестко определённого таймаута в 30 секунд;
  • Для модулей mod_authz_user, mod_authz_host, mod_authz_groupfile, mod_authz_dbm, mod_authz_dbd и mod_authnz_ldap добавлена поддержка парсера выражений для содержимого директив.


Источник:
http://www.opennet.ru/opennews/art.shtml?num=39327

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>