В HTTP-сервере Apache 2.4.23 устранена уязвимость
Доступен релиз HTTP-сервера Apache 2.4.23, в котором представлено 36 изменений, 17 из которых связаны с исправлениями в модуле mod_http2. Выпуски 2.4.21 и 2.4.22 были пропущены, следом за 2.4.20 сразу опубликован релиз 2.4.23.
В том числе в новом выпуске устранена уязвимость (CVE-2016–4979), которая позволяет обойти аутентификацию на основе клиентских сертификатов X509. Проблема проявляется только в системах, использующих HTTP/2, и проявляется в отсутствии выполнения должных проверок сертификата, что позволяет получить доступ к ресурсам, без предоставления необходимого для аутентификации сертификата. Уязвимы версии httpd c 2.4.18 по 2.4.20 в которых активирован модуль mod_http2.
Из не связанных с безопасностью и исправлением ошибок изменений можно отметить реализацию в mod_include конструкции »‹!--#comment текст комментария›» для определения комментариев в файлах SSI, а также добавление новой директивы CGIVar, при помощи которой можно определить правило заполнения переменной окружения REQUEST_URI (original-uri для изначально запрошенного URI и current-uri для текущего URI).
© OpenNet
