Релиз http-сервера Apache 2.4.16
Доступен релиз http-сервера Apache 2.4.16, в котором представлено более 70 изменений, четыре из которых связаны с устранением уязвимостей. Выпуск 2.4.16 сформирован вслед за 2.4.12, версии 2.4.13, 2.4.14 и 2.4.15 были пропущены.
Две из исправленных уязвимостей могут привести к совершению DoS-атаки через инициирование краха процессов httpd при обработке с ErrorDocument 400 локального URL-пути при наличии активного фильтра INCLUDES (CVE-2015–0253), а также при отправке специально оформленного PING-запроса в WebSockets (CVE-2015–0228). Уязвимость CVE-2015–3183 связна с дефектом разбора заголовка chunk-запросов. Уязвимость CVE-2015–3185 проявляется при использовании вызова ap_some_auth_required.
Из не связанных с безопасностью изменений отмечается улучшение предлагаемых по умолчанию наборов шифров (SSLCipherSuite и SSLProxyCipherSuite), возможность задания в mod_proxy_scgi альтернативного заголовка ответа через директиву ProxySCGIInternalRedirect, улучшение работы Event MPM, разнообразные улучшения модулей mod_proxy_*, поддержка в mod_log_config формата »%{UNIT}T» для настройки вывода продолжительности запроса в секундах, миллисекундах и микросекундах («s», «ms», «us»).
© OpenNet