Релиз http-сервера Apache 2.4.35
Опубликован релиз HTTP-сервера Apache 2.4.35, в котором представлено 12 изменений и устранена одна уязвимость (CVE-2018–11763). Уязвимость присутствует в модуле mod_http2, проявляется при включении поддержки протокола HTTP/2 и позволяет вызвать отказ в обслуживании через исчерпание лимита на число одновременно открытых соединений. Атака производится через непрерывную отправку кадров максимального размера с типом SETTINGS.
Улучшения в новой версии в основном связаны с модулем mod_status. В mod_status обеспечено накопление статистики по загрузке CPU в параметрах «cu» и «cs» для завершившихся дочерних процессов, а также в параметрах «c» и «s» для основного процесса. Добавлен учёт задержек получения ответа. Расширены сведения об участниках балансировки нагрузки для mod_proxy. Обеспечено накопление статистики для async MPM, работающем в автоматическом режиме (отражено число процессов, число занятых и свободных обработчиков и т.п.). Из не связанных с mod_status изменений выделяется возможность обрамления аргумента в кавычки в директивах IfFile, IfDefine, IfSection, IfDirective и IfModule.
© OpenNet
