forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз http-сервера Apache 2.4.6"
Отправлено opennews, 20-Июл-13 22:40

Доступен (http://www.apache.org/dist/httpd/Announcement2.4.html) релиз http-сервера Apache 2.4.6 (http://httpd.apache.org) в котором устранено 2 уязвимости и представлено 77 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4). Несмотря на то, что новая версия имеет корректирующий характер, в Apache 2.4.6 представлена достаточно большая порция улучшений. Выпуск Apache 2.4.5 был пропущен, так как  в процессе формирования релиза было выявлено регрессивное изменение, для исправления которого по горячим следам выпущен Apache 2.4.6.
Из изменений можно отметить:
-  Поддержка проксирования и туннелирования websocket-запросов. Добавлен модуль mod_proxy_wstunnel;
-  Значительное обновление модуля mod_lua. Обеспечена возможность создания фильтров контента на языке Lua (подключение через LuaInputFilter/LuaOutputFilter). Добавлена  директива LuaMapHandler для привязки  URL к скриптам-обработчикам на языке Lua  (маска URL может быть задана с использованием регулярных выражений). Добавлена директива LuaCodeCache для управления кэшированием кода Lua-скриптов в памяти.  Добавлены новые функции  r:htpassword(), r:mkdir(), r:mkrdir(),
     r:rmdir(), r:touch(), r:get_direntries(), r.date_parse_rfc(), обеспечен доступ к БД  apr_dbd/mod_dbd;

-  Новая высокопроизводительноая реализация кэширования в разделяемой памяти;
-  Включение в состав  модуля mod_macro, предназначенного для упрощения управления настройками через использование макросов в файле конфигурации;
-  Серия исправлений в mod_cache и mod_proxy, направленных на более точное следование рекомендациям RFC 2616;
-  Добавление в mod_auth_basic режима поддельной аутентификации, включаемого через директиву AuthBasicFake, которая позволяет  администратору задать отдельный логин и пароль для своих нужд;
-  В  mod_proxy добавлены опции BalancerInherit и ProxyPassInherit для управления наследованием параметров виртуального хоста в балансировщиках и обработчиках соединений;
-  В утилиту rotatelogs добавлена поддержка опции "-n" для организации ротации с использованием фиксированного числа архивных лог-файлов;
-  В утилиту htpasswd добавлена опция "-v" для проверки паролей.

Что касается устранённых проблем с безопасностью, то первая уязвимость (CVE-2013-1896) связана с некорректной обработкой запросов на слияние в mod_dav и может привести к краху серверного процесса при отправке злоумышленником специально оформленных MERGE-запросов. Вторая проблема безопасности (CVE-2013-2249) затрагивает модуль mod_session_dbd и связана с ненадлежащей сменой идентификатора сессии при смене сессии.

URL: http://www.apache.org/dist/httpd/Announcement2.4.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=37468

Исходное сообщение
"Релиз http-сервера Apache 2.4.6" Отправлено opennews, 20-Июл-13 22:40
Доступен (http://www.apache.org/dist/httpd/Announcement2.4.html) релиз http-сервера Apache 2.4.6 (http://httpd.apache.org) в котором устранено 2 уязвимости и представлено 77 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4). Несмотря на то, что новая версия имеет корректирующий характер, в Apache 2.4.6 представлена достаточно большая порция улучшений. Выпуск Apache 2.4.5 был пропущен, так как в процессе формирования релиза было выявлено регрессивное изменение, для исправления которого по горячим следам выпущен Apache 2.4.6. Из изменений можно отметить: - Поддержка проксирования и туннелирования websocket-запросов. Добавлен модуль mod_proxy_wstunnel; - Значительное обновление модуля mod_lua. Обеспечена возможность создания фильтров контента на языке Lua (подключение через LuaInputFilter/LuaOutputFilter). Добавлена директива LuaMapHandler для привязки URL к скриптам-обработчикам на языке Lua (маска URL может быть задана с использованием регулярных выражений). Добавлена директива LuaCodeCache для управления кэшированием кода Lua-скриптов в памяти. Добавлены новые функции r:htpassword(), r:mkdir(), r:mkrdir(), r:rmdir(), r:touch(), r:get_direntries(), r.date_parse_rfc(), обеспечен доступ к БД apr_dbd/mod_dbd; - Новая высокопроизводительноая реализация кэширования в разделяемой памяти; - Включение в состав модуля mod_macro, предназначенного для упрощения управления настройками через использование макросов в файле конфигурации; - Серия исправлений в mod_cache и mod_proxy, направленных на более точное следование рекомендациям RFC 2616; - Добавление в mod_auth_basic режима поддельной аутентификации, включаемого через директиву AuthBasicFake, которая позволяет администратору задать отдельный логин и пароль для своих нужд; - В mod_proxy добавлены опции BalancerInherit и ProxyPassInherit для управления наследованием параметров виртуального хоста в балансировщиках и обработчиках соединений; - В утилиту rotatelogs добавлена поддержка опции "-n" для организации ротации с использованием фиксированного числа архивных лог-файлов; - В утилиту htpasswd добавлена опция "-v" для проверки паролей. Что касается устранённых проблем с безопасностью, то первая уязвимость (CVE-2013-1896) связана с некорректной обработкой запросов на слияние в mod_dav и может привести к краху серверного процесса при отправке злоумышленником специально оформленных MERGE-запросов. Вторая проблема безопасности (CVE-2013-2249) затрагивает модуль mod_session_dbd и связана с ненадлежащей сменой идентификатора сессии при смене сессии. URL: http://www.apache.org/dist/httpd/Announcement2.4.html Новость: https://www.opennet.ru/opennews/art.shtml?num=37468

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доступен (http://www.apache.org/dist/httpd/Announcement2.4.html) релиз http-сервера 
> Apache 2.4.6 (http://httpd.apache.org) в котором устранено 2 уязвимости и представлено 
> 77 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4). Несмотря на то, что 
> новая версия имеет корректирующий характер, в Apache 2.4.6 представлена достаточно большая 
> порция улучшений. Выпуск Apache 2.4.5 был пропущен, так как  в 
> процессе формирования релиза было выявлено регрессивное изменение, для исправления которого 
> по горячим следам выпущен Apache 2.4.6.

> Из изменений можно отметить:

> -  Поддержка проксирования и туннелирования websocket-запросов. Добавлен модуль mod_proxy_wstunnel; 
 
> -  Значительное обновление модуля mod_lua. Обеспечена возможность создания фильтров контента 
> на языке Lua (подключение через LuaInputFilter/LuaOutputFilter). Добавлена  директива 
> LuaMapHandler для привязки  URL к скриптам-обработчикам на языке Lua  
> (маска URL может быть задана с использованием регулярных выражений). Добавлена директива 
> LuaCodeCache для управления кэшированием кода Lua-скриптов в памяти.  Добавлены новые 
> функции  r:htpassword(), r:mkdir(), r:mkrdir(), 
>      r:rmdir(), r:touch(), r:get_direntries(), r.date_parse_rfc(), обеспечен доступ к 
> БД  apr_dbd/mod_dbd;

> -  Новая высокопроизводительноая реализация кэширования в разделяемой памяти; 
> -  Включение в состав  модуля mod_macro, предназначенного для упрощения управления 
> настройками через использование макросов в файле конфигурации; 
> -  Серия исправлений в mod_cache и mod_proxy, направленных на более точное 
> следование рекомендациям RFC 2616; 
> -  Добавление в mod_auth_basic режима поддельной аутентификации, включаемого через директиву 
> AuthBasicFake, которая позволяет  администратору задать отдельный логин и пароль для 
> своих нужд;

> -  В  mod_proxy добавлены опции BalancerInherit и ProxyPassInherit для управления 
> наследованием параметров виртуального хоста в балансировщиках и обработчиках соединений;

> -  В утилиту rotatelogs добавлена поддержка опции "-n" для организации ротации 
> с использованием фиксированного числа архивных лог-файлов; 
> -  В утилиту htpasswd добавлена опция "-v" для проверки паролей.

> Что касается устранённых проблем с безопасностью, то первая уязвимость (CVE-2013-1896) 
> связана с некорректной обработкой запросов на слияние в mod_dav и может 
> привести к краху серверного процесса при отправке злоумышленником специально оформленных 
> MERGE-запросов. Вторая проблема безопасности (CVE-2013-2249) затрагивает модуль mod_session_dbd 
> и связана с ненадлежащей сменой идентификатора сессии при смене сессии.

> URL: http://www.apache.org/dist/httpd/Announcement2.4.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=37468

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру