The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз http-сервера Apache 2.4.48

02.06.2021 12:31

Опубликован релиз HTTP-сервера Apache 2.4.48 (выпуск 2.4.47 был пропущен), в котором представлено 39 изменений и устранено 8 уязвимостей:

  • CVE-2021-30641 - неверное срабатывание секции <Location> в режиме 'MergeSlashes OFF';
  • CVE-2020-35452 - переполнение стека на один нулевой байт в mod_auth_digest;
  • CVE-2021-31618, CVE-2020-26691, CVE-2020-26690, CVE-2020-13950 - разыменования указателя NULL в mod_http2, mod_session и mod_proxy_http;
  • CVE-2020-13938 - возможность остановки процесса httpd непривилегированным пользователем в Windows;
  • CVE-2019-17567 - проблемы с согласованием протоколов в mod_proxy_wstunnel и mod_proxy_http.

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_proxy_wstunnel добавлена настройка ProxyWebsocketFallbackToProxyHttp для отключения перехода на использование mod_proxy_http для WebSocket.
  • В основной серверный API включены связанные с SSL функции, которые теперь доступны без модуля mod_ssl (например, позволяют модулю mod_md предоставлять ключи и сертификаты).
  • Обработка ответов OCSP (Online Certificate Status Protocol) перенесена из mod_ssl/mod_md в базовую часть, что позволяет другими модулям обращаться к данным OCSP и формировать ответы OCSP.
  • В mod_md разрешено использование масок в директиве MDomains, например, "MDomain *.host.net". В директиве MDPrivateKeys разрешено указание разных типов ключей, например "MDPrivateKeys secp384r1 rsa2048" позволяет использовать сертификаты ECDSA и RSA. Удалена поддержка устаревшего протокола ACMEv1.
  • В mod_lua добавлена поддержка Lua 5.4.
  • Обновлена версия модуля mod_http2. Улучшена обработка ошибок. Добавлена опция 'H2OutputBuffering on/off' для управления буферизацией вывода (по умолчанию включена).
  • В mod_dav_в директиве FileETag реализован режим "Digest" для генерации ETag на основе хэша от содержимого файла.
  • В mod_proxy разрешено ограничение применения ProxyErrorOverride отдельными кодами состояния.
  • Реализованы новые директивы ReadBufferSize, FlushMaxThreshold и FlushMaxPipelined.
  • В mod_rewrite реализована обработка атрибута SameSite при разборе флага [CO] (cookie) в директиве RewriteRule.
  • В mod_proxy добавлен хук check_trans для отклонения запросов на ранней стадии.


  1. Главная ссылка к новости (https://downloads.apache.org/h...)
  2. OpenNews: Для http-сервера Apache будет подготовлен TLS-модуль, написанный на языке Rust
  3. OpenNews: Выпуск http-сервера Lighttpd 1.4.59 с включением модуля HTTP/2
  4. OpenNews: Релиз http-сервера Apache 2.4.46 с устранением уязвимостей
  5. OpenNews: RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком Range
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/55252-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Самый Лучший Гусь (?), 13:01, 02/06/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –6 +/
     

     ....ответы скрыты модератором (3)

  • 1.5, Андрей (??), 13:36, 02/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Использую с 1997. Много разнообразных проектов и задачь помогает решать httpd. Долгих лет!
     
     
  • 2.22, InuYasha (??), 16:19, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это классика! Это знать надо!
     
     
  • 3.61, Аноним (61), 08:10, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Братишка!
     
  • 2.29, тигар.логиниться.лень (?), 17:26, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    задачЬ где найти ключЬ от танка, например ?
     
  • 2.66, Ilya Indigo (ok), 22:07, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А nginx пробовали?
     
  • 2.68, rvs2016 (ok), 10:32, 05/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогично, коллега! Только с 1998.
     

  • 1.8, Аноним (8), 13:40, 02/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Интересно человечество застанет версию 3? Хотя суда по всему нет.
     
     
  • 2.9, Аноним (8), 13:43, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В их свн веток отличных от 2.4.х нет. Значит не будет других версий.
     
     
  • 3.23, InuYasha (??), 16:22, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А что не так-то? o_O Это ж не хром/фигефокс чтоб +10 к версии раз в полгода прибавлять )
     
  • 3.31, makehttpd (?), 17:38, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    До тройки далеко, сейчас в планах 2.5/2.6.
     
     
  • 4.41, Онаним (?), 20:34, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    mpm_itk бы интегрировали или аналог - было бы чудо.
    Хотя всё есть желание взять их солярковый mpm, и поиграться с приведением до mpm_itk.
    Может в таком виде примут.
     

  • 1.10, Аноним (10), 13:46, 02/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Релиз http-сервера Apache 2.4.48

    Как глоток свежего воздуха на фоне nginx-пиара.

     
     
  • 2.14, Аноним (14), 15:10, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почаще обновляйся, а то гляди, задохнешься совсем...

     

  • 1.11, DEF (?), 14:04, 02/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Как считаете, почему российские недопровайдеры до сих пор сидят на протухшей версии 2.4.6?
     
     
  • 2.12, DeerFriend (?), 14:07, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что RHEL7
     
     
  • 3.13, DEF (?), 14:13, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, у них какой-то там CloudLinux.
     
     
  • 4.17, DeerFriend (?), 15:32, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Нет, у них какой-то там CloudLinux.

    Это и есть клон, такой же как центось или оракль.

     
  • 4.20, мистер покемон (?), 16:05, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    у клаудлинукса есть свои репозитории со свежайшим апачем + пхп любых версий.
    если у недохостера 2.4.6, то скорее всего там просто ванильный центос 7.
     
  • 4.21, Your Mama (?), 16:13, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Который пересборка РХЕЛ.
     
  • 4.40, Онаним (?), 20:33, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не гоните на клаудлинух - у них вполне себе есть свежие версии.
     
  • 2.28, нах.. (?), 17:08, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Возможно, потому что им нафиг не упали нужные и важные mod_md и proxywstunnel ?

    Но ты всегда можешь арендовать vpsочку занедорого и настроить себе свежайшее только что из под хвоста, как ты любишь.

     
  • 2.32, YetAnotherOnanym (ok), 17:56, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как считаете, почему российские недопровайдеры до сих пор сидят на протухшей версии
    > 2.4.6?

    Вот так и палятся админы локалхоста, которые даже не представляют, сколько подмазанных соплями костылей при этом может отвалиться, и какими убытками это чревато для "недопровайдера", и какую обильную клизму со скипидаром получит за это любитель свежатинки.

     
     
  • 3.54, DEF (?), 00:15, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это не ты там недавно админил у одного недохостера, которого вскрыли и у которого стоял Debian Etch 4.0?
     
  • 2.33, YetAnotherOnanym (ok), 18:16, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Как считаете, почему российские недопровайдеры до сих пор сидят на протухшей версии
    > 2.4.6?

    Ну так приди и скажи "давайте я вам обновлю апач, всех отвалившихся клиентов обязуюсь исследовать, выяснить причины сбоя, пофиксить и поднять, чтобы работало как раньше.

     
     
  • 3.34, Lex (??), 19:24, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С каких это пор провайдеры что-то там фиксили бы у клиентов.. забесплатно ?)

    За пару мес до предполагаемого обновления ПО сделать рассылку всем клиентам о переходе на новую версию и «пожалуйста убедитесь, что у вас ничего не отвалится на новой», за месяц и за неделю - тож..
    И.. обновить. У кого что слетело - сам дурак, всех предупреждали и не раз.

     
     
  • 4.36, Аноним (36), 20:16, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На нашем хостинге даже php 4 поддерживается, а вы про обновление apache
     
     
  • 5.37, Онаним (?), 20:31, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не, мы PHP 4 давно выкинули.
    Все версии 5 (5.0-5.6), все 7 и 8.0.
     
  • 4.38, Онаним (?), 20:32, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мы помогаем даже конфиги софта на PHP поправить, если надо, для тех, кто с трудом с развёртыванием.
    Много времени у саппорта это не занимает, а клиент доволен - если готов подождать, конечно.
     
  • 4.46, нах. (?), 21:02, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > С каких это пор провайдеры что-то там фиксили бы у клиентов.. забесплатно ?)

    э...бть...с 2005го точно фиксили, а до этого я не в гуанохостере работал, поэтому не знаю. Не забесплатно, конечно, за те пятнадцать копеек в день, что они платили за свой гуанохостинг.

    Даже анекдот у нас был такой, для внутреннего пользования - "если ваша макака окончательно запуталась в макаронах своего пехепе кода, и сайт совсем перестал работать - просто приходите к нам на пятнадцатикопеечный тариф, как попало скопируйте файлы, и немедленно позвоните в техподдержку, с воплями что вот в [главный конкурент] все работало, а вы нам все поломали, немедленно уберите и прекратите!"

    И да, периодически под такие вопли техподдержка исправляла просто откровенные баги в васян-сайтах, из-за которых те явно не могли работать абсолютно ни у кого вообще.

    > И.. обновить. У кого что слетело - сам дурак, всех предупреждали и не раз.

    а потом в три ночи объяснять менеджеру, почему ему позвонил клиент что немедленно уходит к [главный конкурент] ? Спасибо, хороший совет, дельный.

     
     
  • 5.48, Онаним (?), 21:03, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    - периодически под такие вопли техподдержка исправляла просто откровенные баги в васян-сайтах, из-за которых те явно не могли работать абсолютно ни у кого вообще

    Угу. Так и живём.

     
  • 5.62, Lex (??), 11:28, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> И.. обновить. У кого что слетело - сам дурак, всех предупреждали и не раз.
    > а потом в три ночи объяснять менеджеру, почему ему позвонил клиент что
    > немедленно уходит к [главный конкурент] ? Спасибо, хороший совет, дельный.

    Васянов особо никому не жалко, остальные - хоть сколько-то ресурсов тратят на поддержку своих проектов.

    Или мистер предлагает поддерживать любое допотопное гамно только потому что на нем сидит один-два васяна, откровенно забившие на свои сайтопомойки ?

    Имел дело с разными конторами. Нередко даже поддержку относительно свежих версий пхп с чистой совестью выпиливали. Предупреждали кнчн и не раз, все заинтересованные норм обновляли код ( в крайнем случае уходили на какие-то помойки, которые, пусть и поддерживали старые версии софта, но стабильность была такой.. что все равно все падало постоянно ).
    Конечно, это касается более-менее крупных контор с обилием клиентов, а не с парой васянов, уход даже одного из которых - это катастрофа и голодная смерть для менеджера( которому и так капало по 20р/неделю аккурат на пакет перловки, а теперь - не будет и этого )

     
     
  • 6.64, нах.. (?), 17:31, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Васянов особо никому не жалко

    на практике никому особо не жалко админов васян-хостингов, оказавшихся не у дел, поскольку те - банкроты.
    Прикол этой работы в том, что ты живешь именно на денежки вот таких вот васянов. С трудом доносящих свой вропресс или что похуже, совсем наколенное, с ноута разработчика (я-у-мамы) до твоего хоста.

    > остальные - хоть сколько-то ресурсов тратят на поддержку своих проектов.

    Ну так они их на свои проекты тратят, а не за тобой исправлять результат обляпывания свежатинкой.

    Ты ж им все сломал - вот ты и чини. Не вижу места для отмазок.

    > Имел дело с разными конторами.

    Русскими, шт0ле? Не имей с ними дел, никогда. Они сегодня может еще и ничего, а завтра им электричество отключили и админа, пришедшего включать, отп-ли. Как надысь случилось с тем самым бывшим нашим "главным конкурентом".

    После такого он вряд ли будет заинтересован твой пехепе поддерживать, и вообще работать в этом месте.

    > Конечно, это касается более-менее крупных контор с обилием клиентов

    Внезапно, у них потому обилие клиентов, что они за этих клиентов борются. А не ломают им все подряд каждый день. А то обилие клиентов перетечет к кому-нибудь другому, им несложно, и еще и скидку дадут. Ну, правда, у русских - там не знаю, возможно бороться уже не нужно, все равно клиенту уже бежать некуда.

     
  • 3.39, Онаним (?), 20:33, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я хз, с 2.4.6 до 2.4.48 ничего на шаредах не ломали :D
    Естественно с претестом на кошках.
     
     
  • 4.49, нах. (?), 21:04, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На кажыдй php 5.2.5 (непременно в виде mod_php, иначе "всесломалась") не натестируешься.

    А редхат вполне себе умеет в бэкпорты фиксов, если те действительно критичные.

     
     
  • 5.50, Онаним (?), 21:10, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как ни забавно, но все наши поддерживаемые версии именно в виде mod_php :D
    И на каждую свой прогончик вротпресса :D
     
     
  • 6.51, Онаним (?), 21:11, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно без миноров. По php минор всегда берётся latest.
     
  • 3.53, Ananimasss (?), 22:52, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что мешает дать клиенту выбор на каком работать, кроме жадности и сожаления о памяти для нескольких запущенных версиях?

    Често предупредить, что деприкатед и нот супортед, поламают - сам дурак.
    А вообще хостеры вроде уже сообразили сразу предоставлять битриксы и вротперсы самостоятельно и на чем оно там крутится юзеру, с его компаний лидером отрасли, должно быть пофиг.

     
     
  • 4.65, нах.. (?), 17:33, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А что мешает дать клиенту выбор на каком работать

    ну, в общем, потрахаться таки придется.
    И нет - поломают, дурак будешь снова ты.

    > А вообще хостеры вроде уже сообразили сразу предоставлять битриксы и вротперсы самостоятельно
    > и на чем оно там крутится юзеру, с его компаний лидером отрасли, должно быть пофиг.

    А ему, внезапно, не пофиг - потому что все сломалось от не той версии пехепе.

     

  • 1.18, Аноним (18), 15:58, 02/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Надо было писать на Rust.
     
     
  • 2.43, нах. (?), 20:42, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А тогда апача бы не существовало уюуже лет как 20 ага.
     
     
  • 3.45, нах. (?), 20:56, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не уже, а еще!

    (В известном проекте - работа кипит, если что. Ну вы помните - escopeta.swf, ага)

     

  • 1.19, Аноним (18), 16:01, 02/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > (выпуск 2.4.47 был пропущен), в котором представлено 39 изменений и устранено 8 уязвимостей

    39+8=47

    Ваш капитан.

     
  • 1.24, б.б. (?), 16:33, 02/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    веб, который мы потеряли. без килотонн скриптов, браузеров жрущих по 4 гб и просящих ещё. когда основным сервером был apache, такой фигни не было.
     
     
  • 2.27, нах.. (?), 17:04, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Только тот апач был 1.3
    Собственно, тому вебу никакого другого и не было нужно.

     
  • 2.35, Аноним (35), 19:28, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А стоял-то как в то время
     
  • 2.52, Аноним (52), 21:33, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что тебе сегодня мешает открыть блокнотикъ и набрать чистый хтмл для своего очередного визиткосайта? И при чем здесь веб сервер?
     
     
  • 3.60, б.б. (?), 04:05, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Что тебе сегодня мешает открыть блокнотикъ и набрать чистый хтмл для своего
    > очередного визиткосайта? И при чем здесь веб сервер?

    забей, это не для тебя написано...

     
  • 2.55, Аноним (55), 02:58, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тот веб мы потеряли, как раз потому, что ты поставил apache.
     
     
  • 3.56, Аноним (55), 03:00, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А потом ещё перешёл на CentOS и nginx, криворукий балбес.
     
  • 3.59, б.б. (?), 04:04, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Тот веб мы потеряли, как раз потому, что ты поставил apache.

    я как раз тестировал свои сайты и на pentium 60/16, и в lynx, и писал в internet zone и прочие ежурналы о том, что веб раздувается.

     
  • 2.63, Аноним (61), 11:59, 03/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    SSI никто не отменял
     

  • 1.42, Онаним (?), 20:36, 02/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    -- В основной серверный API включены связанные с SSL функции, которые теперь доступны без модуля mod_ssl

    Самое хорошее в этом релизе - появление хука ssl_conn_is_ssl.
    Почему - не скажу :D

     
     
  • 2.44, нах. (?), 20:44, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну и нахер ты тогда нужен
     
     
  • 3.47, Онаним (?), 21:02, 02/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Те, кто в коде ковыряются - и так поняли. Очень много костылей разбирается.
    Остальным без надобности.
     

  • 1.67, msgod (ok), 06:32, 04/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как же воняет пухапешниками итт
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру