Релиз http-сервера Apache 2.4.9
Доступен релиз http-сервера Apache 2.4.9, в котором представлено 35 изменений. Выпуск 2.4.8 был пропущен из-за исправления в последний момент проблемы в mod_ssl, проявляющейся в виде краха при выполнении вызова SSL_get_certificate в случае использования некоторых устаревших версий OpenSSL, а также исправления ошибки в mod_lua, приводящей к некорректной обработке LuaMapHandler при определённом стечении обстоятельств. По сравнению с выпуском 2.4.7 в новой версии устранено две уявзимости:
CVE-2014–0098 — возможность инициирования краха mod_log_config при попытке сохранения в лог урезанных Cookie, в которых указано только имя и пропущено значение (теперь в лог сохраняются только пары cookie=value). CVE-2013–6438 — возможность вызова отказа в обслуживании при обработке модулем mod_dav специально оформленных запросов «DAV WRITE» из-за неверного расчёта размера данных в условиях обрезания лидирующих пробелов. Наиболее заметные улучшения:
В директивы LocationMatch, DirectoryMatch, FilesMatch и ProxyMatch добавлена поддержка именованных групп и обратных ссылок (backreference) в регулярных выражениях (для работы требуется сборка со свежей версией PCRE); В mod_rewrite в директиве RewriteOptions появилась поддержка опций InheritDown, InheritDownBefore и IgnoreInherit для организации передачи правил RewriteRules из родительской области (scope) в дочернюю без явной настройки каждой дочерней области. Добавлена поддержка переменной %{CONN_REMOTE_ADDR}, вариант %{REMOTE_ADDR} с адресом инициатора соединения (без подстановок адреса клиента через mod_remoteip); В mod_proxy добавлена поддержка использования unix domain sockets в качестве точки для взаимодействия с бэкендом. Прекращена поддержка недокументированного синтаксиса «Proxy ~ wildcard-url» который эквивалентен «ProxyMatch wildcard-url»; В mod_dir добавлена директива DirectoryCheckHandler для обеспечения пропуска выполнения обработчика в случае если он уже был установлен. Отключен поиск DirectoryIndex и DirectorySlash для URL, уже переписанных в mod_rewrite; В поддержку HTTP/1.1 внесены связанные с обработкой конфликтов TE/CL исправления, рекомендованные в документе draft-ietf-httpbis-p1-messaging-23; В mod_ssl отключено выполнение сравнения параметров SNI и заголовка Host в случае запроса прокси. Для директив SSLCertificateFile и SSLCertificateKeyFile прекращена зависимость от жестко заданных в коде типов алгоритмов. Объявлена устаревшей поддержка директивы SSLCertificateChainFile. Добавлена директива SSLOpenSSLConfCmd для использования команд конфигурации OpenSSL; Устранена проблема с длительной задержкой при использовании модели prefork и выполнения перезапуска в режиме graceful; Для всех версий старше FreeBSD 5 отключен по умолчанию маппинг в IPv4 для ожидающих соединение сокетов (ранее указанная поддержка была отключена только для FreeBSD 5); В mod_remoteip обеспечено корректное заполнение поля proxy_ips; В mod_lua добавлена возможность возврата результатов запроса из БД в форме хэша (row-name/value) вместо массива (row-number/value), обновлена реализация r: setcookie (); Если невозможно декодировать сессию, то mod_session теперь всегда ведёт себя как в случае если сессии вообще нет. Устранены проблемы при интерпретации директив SessionInclude и SessionExclude; В mod_proxy_fcgi в качестве таймаута задейсвовано значение apr_socket_timeout_get вместо жестко определённого таймаута в 30 секунд; Для модулей mod_authz_user, mod_authz_host, mod_authz_groupfile, mod_authz_dbm, mod_authz_dbd и mod_authnz_ldap добавлена поддержка парсера выражений для содержимого директив.
© OpenNet
