Доступен (http://www.apache.org/dist/httpd/Announcement2.4.html) релиз http-сервера Apache 2.4.9 (http://httpd.apache.org), в котором представлено 35 изменений (http://www.apache.org/dist/httpd/CHANGES_2.4.9). Выпуск 2.4.8 был пропущен из-за исправления в последний момент проблемы в mod_ssl, проявляющейся в виде краха при выполнении вызова SSL_get_certificate в случае использования некоторых устаревших версий OpenSSL, а также исправления ошибки в mod_lua, приводящей к некорректной обработке LuaMapHandler при определённом стечении обстоятельств.
По сравнению с выпуском 2.4.7 в новой версии устранено две уявзимости:
- CVE-2014-0098 - возможность инициирования краха mod_log_config при попытке сохранения в лог урезанных Cookie, в которых указано только имя и пропущено значение (теперь в лог сохраняются только пары cookie=value).
- CVE-2013-6438 - возможность вызова отказа в обслуживании при обработке модулем mod_dav специально оформленных запросов "DAV WRITE" из-за неверного расчёта размера данных в условиях обрезания лидирующих пробелов.
Наиболее заметные улучшения:
- В директивы LocationMatch, DirectoryMatch, FilesMatch и ProxyMatch добавлена поддержка именованных групп и обратных ссылок (backreference) в регулярных выражениях (для работы требуется сборка со свежей версией PCRE);
- В mod_rewrite в директиве RewriteOptions появилась поддержка опций InheritDown, InheritDownBefore и IgnoreInherit для организации передачи правил RewriteRules из родительской области в дочернюю без явной настройки каждой дочерней области. Добавлена поддержка переменной %{CONN_REMOTE_ADDR}, вариант %{REMOTE_ADDR} с адресом инициатора соединения;
- В mod_dir добавлена директива DirectoryCheckHandler для обеспечения пропуска выполнения обработчика в случае если он уже был установлен. Отключен поиск DirectoryIndex и DirectorySlash для URL, уже переписанных в mod_rewrite;
- В mod_proxy добавлена поддержка использования unix domain sockets в качестве точки для взаимодействия с бэкендом. Прекращена поддержка недокументированного синтаксиса "Proxy ~ wildcard-url" который эквивалентен "ProxyMatch wildcard-url";
- В поддержку HTTP/1.1 внесены связанные с обработкой конфликтов TE/CL исправления, рекомендованные в документе draft-ietf-httpbis-p1-messaging-23 (https://tools.ietf.org/html/draft-ietf-httpbis-p1-messaging-23);
- В mod_ssl отключено выполнение сравнения параметров SNI и заголовка Host в случае запроса к прокси. Для директив SSLCertificateFile и SSLCertificateKeyFile прекращена зависимость от жестко заданных в коде типов алгоритмов. Объявлена устаревшей поддержка директивы SSLCertificateChainFile. Добавлена директива SSLOpenSSLConfCmd для использования команд конфигурации OpenSSL;
- Устранена проблема с длительной задержкой при использовании модели prefork и выполнения перезапуска в режиме graceful;
- Для всех версий старше FreeBSD 5 отключен по умолчанию маппинг в IPv4 для ожидающих соединение сокетов (ранее указанная поддержка была отключена только для FreeBSD 5);
- В mod_remoteip обеспечено корректное заполнение поля proxy_ips;
- В mod_lua добавлена возможность возврата результатов запроса из БД в форме хэша (row-name/value) вместо массива (row-number/value), обновлена реализация r:setcookie(),
- Если невозможно декодировать сессию, то mod_session теперь всегда ведёт себя как в случае если сессии вообще нет. Устранены проблемы при интерпретации директив SessionInclude и SessionExclude;
- В mod_proxy_fcgi в качестве таймаута задейсвовано значение apr_socket_timeout_get вместо жестко определённого таймаута в 30 секунд;
- Для модулей mod_authz_user, mod_authz_host, mod_authz_groupfile, mod_authz_dbm, mod_authz_dbd и mod_authnz_ldap добавлена поддержка парсера выражений для содержимого директив.
URL: http://www.apache.org/dist/httpd/Announcement2.4.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=39327
