Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое существование

Увидел свет релиз http-сервера Apache 1.3.42 в котором устранена критическая уязвимость в mod_proxy, вызванная возможностью совершения целочисленного переполнения в функции "ap_proxy_send_fb(). Успешная эксплуатация может позволить злоумышленнику выполнить свой код на сервере, работающем в режиме прокси. Успешное проведение атаки возможно только на 64-разрядных системах, на которых тип данных "long" превышает по размеру тип "int".

Разработчики сообщили о том, что Apache 1.3.42 является последним релизом серии 1.3.x, но в случае обнаружения критических уязвимостей патчи в будущем можно будет загрузить на странице www.apache.org/dist/httpd/patches. Пользователям Apache 1.3.x рекомендуется провести переход на версию Apache 2.2.14.

Одновременно вышел релиз Apache 2.3.5, имеющий статус альфа-версии. В дальнейшем на базе тестовой ветки Apache 2.3.x будет сформирован стабильный релиз Apache 2.4.0. Из новшеств Apache 2.4 можно отметить:

  • Возможность указания значения параметра KeepAliveTimeout в миллисекундах;
  • Добавление Simple MPM, написанного с нуля MPM-модуля с поддержкой управления несколькими многопоточными обработчиками. В модуле не используются функции "os/unixd/". Разработчик надеется, что в Apache 2.4.0 данный MPM будет использован по умолчанию для Unix систем;
  • Многие MPM могут быть сразу собраны в виде динамически загружаемых модулей, которые можно активировать в конфигурации без последующей пересборки;
  • В mod_ssl добавлена поддержка проверки статуса клиентского сертификата на OCSP серверах. Также добавлена возможность совместного использования данных SSL сессии на нескольких http-серверах, через задействование memcached;
  • Новый модуль mod_lua, позволяющим интегрировать в httpd интерпретатор языка Lua;
  • В состав включен модуль mod_proxy_fcgi, с поддержкой проксирования протокола FastCGI;
  • В поставку Apache включен скрипт fcgistarter, предназначенный для запуска серверных FastCGI процессов.

© OpenNet