Релиз http-сервера Apache 2.4.25


Состоялся релиз HTTP-сервера Apache 2.4.25, в котором представлено 64 изменения, 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сбокой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25.

Из изменений можно отметить:

  • Устранено 5 уязвимостей:
    • CVE-2016–0736 — mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle). Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash);
    • CVE-2016–2161 — крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных;
    • CVE-2016–5387 — уязвимость под кодовым названием Httpoxy, позволяющая совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy;
    • CVE-2016–8740 — уязвимость в реализации HTTP/2, позволяющая осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;
    • CVE-2016–8743 — возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500;
  • В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности;
  • В mod_socache_memcache обеспечен вывод статистики memcache через mod_status;
  • Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230;
  • В запросах к прокси добавлена возможность указания незакодированных символов ';' в запросе и заголовке «Location:»;
  • Добавлена директива RegisterHttpMethod для регистрации нестандартных методов HTTP;
  • В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в memcached;
  • В mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных о состоянии в HTTP-ответах с кодом 103;
  • В mod_http2 добавлена директива 'H2PushResource' для включения ранней отправки ресурсов методом PUSH до начала обработки основного запроса;
  • В mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах;
  • В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);
  • Обеспечен вывод ответа »408 Request Timeout» при при исчерпании таймаута в процессе чтения тела запроса;
  • В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через TLS.

© OpenNet