Выпуск http-серверов Apache 2.4.27, nginx 1.13.3 и 1.12.1
Представлен релиз HTTP-сервера Apache 2.4.27, в котором представлено 8 изменения, из которых половина связана с решением проблем с нарушением совместимости. В частности, отключена поддержка HTTP/2 при использовании Prefork MPM, обеспечена совместимость FastCGI c PHP-FPM (возобновлено поведение версии 2.4.20), отключен экспорт недокументированной переменной 'apr_table' в mod_lua, улучшена совместимость mod_lua с Lua 5.1, 5.2 и 5.3. Кроме того, увеличена производительность и снижено потребление памяти в mod_http2, возобновлена поддержка полей из одного символа, устранено дублирование метода HEAD в заголовке Allow.
Также доступны новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx — 1.12.1 и 1.13.3, в которых устранена уязвимость CVE-2017–7529. При помощи отправки специально оформленного запроса злоумышленник может вызвать целочисленное переполнение и некорректную обработку диапазонов в range-фильтре. При использовании штатного набора модулей уязвимость потенциально может привести к утечке заголовка файла из кэша, если запрос возвращён из кэша. Заголовок может содержать IP бэкенд-сервера или другую частную информацию. При установке сторонних модулей не исключается вызов отказа в обслуживании или утечка части памяти рабочего процесса. В качестве обходного метода защиты в настройках можно указать «max_ranges 1».
© OpenNet