Релиз http-сервера Apache 2.4.38 с объявлением стабильным модуля mod_lua
Опубликован релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений и устранены три уязвимости.
Наиболее заметные изменения:
- Устранена уязвимость CVE-2018–17199 в модуле mod_session, позволяющая продолжить обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie);
- Устранена DoS-уязвимость CVE-2018–17189 в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов;
- Устранена DoS-уязвимость CVE-2019–0190 в модуле mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 проблеме не подвержена). Проблема проявляется только при сборке с OpenSSL 1.1.1;
- Модуль mod_lua, позволяющий интегрировать в httpd интерпретатор языка Lua, переведён в число стабильных и теперь может применяться на рабочих серверах (API не будет изменяться);
- В mod_negotiation обеспечено игнорирования регистра символов при разборе списка языков, заданных в диективе LanguagePriority, в соответствии с поведением AddLanguage и требованиями спецификации HTTP;
- В mod_session обеспечено декодирование атрибутов сеанса на самой ранней стадии обработки, а в mod_session_cookie реализовано отсеивание дублирующихся заголовков Set-Cookie;
- В mod_ssl налажено выставление переменной $HTTPS при работе в режиме «SSLEngine optional» и обеспечена корректная работа настройки «Require ssl» при использовании HTTP/2.
© OpenNet