21 августа вышел новый Apache 2.4.3
283
Корректирующий релиз http-
сервера Apache 2.4.3
Доступен корректирующий
релиз http-сервера Apache 2.4.3
в котором устранено 2
уязвимости и представлено 56
исправлений.
Первая уязвимость связана с
возможностью получения
остаточных данных от другого
запроса при использовании
mod_proxy_ajp и mod_proxy_
http. Вторая уязвимость
присутствует в mod_negotiation
и вызвана отсутствием
экранирования спецсимволов
при выводе списка имён
загруженных в директорию
файлов, что можно
использовать для организации
межсайтового скриптинга
(подстановка JavaSript или
HTML блоков через имя файла)
в условиях включения опции
MultiViews и возможности
загрузки пользователем
произвольных данных в
директорию.
Из изменений можно отметить:
В mod_lua добавлена
директива LuaAuthzProvider
для создания провайдеров
авторизации на языке Lua;
Упрощена проверка
содержимого при передаче
POST-запроса с заголовком
"Content-Type: application/x-
www-form-urlencoded" с
целью избежания потерь
данных с добавленным
указанием кодировки.
В httpd.conf добавлена
возможность установки из
директив конфигурации
переменной окружения
bad_DNT на основании поля
User-Agent, а также
удаления заголовка DNT при
выполнении указанных
условий (например, можно
удалить DNT для запросов
от MSIE 10.0, так как они
расходятся со
спецификацией DNT);
В mod_rewrite устранён крах
при хранении RewriteMaps
правил в базе dbd;
В mod_ssl добавлена опция
SSLCompression для
отключения сжатия на
уровне TLS;
В mod_lua добавлены
недостающие поля для
параметров запроса,
параметр remote_ip
переименован в client_ip.
Для разбора параметров
POST-запроса добавлена
функция parsebody;
В mod_setenvif обеспечена
компиляция глобальных
регулярных выражений на
этапе запуска, что
позволило уменьшить
потребление памяти,
особенно при
использовании .htaccess;
При указании в mod_so
через опции LoadFile и
LoadModule имени файла
без пути, если файл не
найден в директории
сервера, то он будет открыт
из системных библиотечных
путей, видимых через
dlopen();
В mod_rewrite добавлена
опция "AllowAnyURI".
Добавлено через 00:59 сек.
Отлично
сервера Apache 2.4.3
Доступен корректирующий
релиз http-сервера Apache 2.4.3
в котором устранено 2
уязвимости и представлено 56
исправлений.
Первая уязвимость связана с
возможностью получения
остаточных данных от другого
запроса при использовании
mod_proxy_ajp и mod_proxy_
http. Вторая уязвимость
присутствует в mod_negotiation
и вызвана отсутствием
экранирования спецсимволов
при выводе списка имён
загруженных в директорию
файлов, что можно
использовать для организации
межсайтового скриптинга
(подстановка JavaSript или
HTML блоков через имя файла)
в условиях включения опции
MultiViews и возможности
загрузки пользователем
произвольных данных в
директорию.
Из изменений можно отметить:
В mod_lua добавлена
директива LuaAuthzProvider
для создания провайдеров
авторизации на языке Lua;
Упрощена проверка
содержимого при передаче
POST-запроса с заголовком
"Content-Type: application/x-
www-form-urlencoded" с
целью избежания потерь
данных с добавленным
указанием кодировки.
В httpd.conf добавлена
возможность установки из
директив конфигурации
переменной окружения
bad_DNT на основании поля
User-Agent, а также
удаления заголовка DNT при
выполнении указанных
условий (например, можно
удалить DNT для запросов
от MSIE 10.0, так как они
расходятся со
спецификацией DNT);
В mod_rewrite устранён крах
при хранении RewriteMaps
правил в базе dbd;
В mod_ssl добавлена опция
SSLCompression для
отключения сжатия на
уровне TLS;
В mod_lua добавлены
недостающие поля для
параметров запроса,
параметр remote_ip
переименован в client_ip.
Для разбора параметров
POST-запроса добавлена
функция parsebody;
В mod_setenvif обеспечена
компиляция глобальных
регулярных выражений на
этапе запуска, что
позволило уменьшить
потребление памяти,
особенно при
использовании .htaccess;
При указании в mod_so
через опции LoadFile и
LoadModule имени файла
без пути, если файл не
найден в директории
сервера, то он будет открыт
из системных библиотечных
путей, видимых через
dlopen();
В mod_rewrite добавлена
опция "AllowAnyURI".
Добавлено через 00:59 сек.
Отлично
You must be logged in to perform actions!