Обновление HTTP сервера Apache - релизы 2.2.8, 2.0.63 и 1.3.41

17.01.2008 18:53

Выпущены три новых релиза HTTP сервера Apache: 2.2.8, 2.0.63 и 1.3.41.

В Apache 1.3.41 исправлены следующие проблемы связанные с безопасностью:

  • Возможность межсайтового скриптига (XSS) в mod_status и mod_imap
  • Ошибка в mod_proxy, которую можно использовать для совершения DoS атаки на платформах Windows и NetWare.
Также в 1.3.41 устранена недоработка, приводившая к появлению ошибок "Bad pid" в логе.

В Apache 2.0.63 только устранена уязвимость связанная с возможностью межсайтового скриптига через модули mod_status и mod_imagemap.

Гораздо больше изменений представлено в версии Apache 2.2.8. Кроме уже упоминавшихся XSS уязвимостей в mod_status и mod_imagemap, можно отметить исправление следующих проблем:

  • Уязвимость в mod_proxy_balancer, дающая злоумышленнику возможность подстановки HTML и JavaScript кода в контексте чужого сайта, на котором используется mod_proxy_balancer.
  • Возможность совершения DoS атаки через передачу системе управления модулем mod_proxy_balancer специально скомпонованного имени балансировщика.

Изменения в 2.2.8 не связанные с безопасностью:

  • Реализована директива ProxyFtpDirCharset, позволяющая для определённого пути задать кодировку вывода содержимого проксируемой FTP директории (ранее всегда выдавалось в ISO-8859-1);
  • Во многих модулях добавлено явное указание кодировки при выводе данных, для устранения потенциальной возможности совершения XSS атаки на браузеры нарушающие в своей работе RFC2616;
  • В Event MPM добавлена возможность совместной работы с модулем mod_ssl;
  • В mod_rewrite добавлены две опции: NV (no vary) флаг в RewriteCond запрещающий выдачу заголовка Vary, и опция "B" (escape backreferences), предотвращающую раскодирование спец. символов (unescaping) в URL;
  • При помощи директивы "if" в mod_include отныне можно проверять доступность URL, например для скрытия линков на закрытые области сайта для пользователей не имеющих доступа;
  • В mod_substitute добавлен новый фильтр вывода (output filter), который позволяет фильтровать вывод в соответствии с заданной маской (поддерживаются регулярные выражения);
  • В mod_status появилась директива SeeRequestTail, определяющая отображать содержимое первых или последних 63 символов запроса. Работает при включенном режиме ExtendedStatus;
  • Исправлены ошибки в модулях winnt_mpm, mod_dav, mod_ssl, mod_ldap, mod_disk_cache, http_protocol, mod_proxy_ajp, mod_filter, mod_proxy_http, mod_autoindex, mod_charset_lite, mod_deflate и mod_proxy_ftp.