Вышел корректирующий релиз http-сервера Apache 2.2.15

06.03.2010 11:10

Вышел релиз http-сервера Apache 2.2.15 в котором устранены 4 уязвимости и внесено 28 исправлений.

Исправленные уязвимости:

  • В модуль mod_ssl добавлен код, реализующий новый метод (RFC 5746, для работы требуется наличие OpenSSL 0.9.8m) безопасного выполнения операций согласования для установленного соединения (renegotiation), что делает невозможным проведение атаки по подстановке данных в устанавливаемое между двумя точками защищенное соединение. Вернуться к использованию старого алгоритма можно через использование опции 'SSLInsecureRenegotiation'.
  • Функция "ap_proxy_ajp_request()" из состава модуля mod_proxy_ajp при определенных обстоятельствах возвращает код ошибки (HTTP_INTERNAL_SERVER_ERROR), что может быть использовано злоумышленником для вызова отказа в обслуживании через отправку специальным образом оформленных запросов, переводящих бэкенд-сервер в состояние кеширования ошибки до истечения таймаута;
  • Модуль mod_isapi может выгрузить ISAPI-модуль до завершения обработки последнего запроса, что потенциально может привести к передаче управления по несуществующему указателю;
  • Ошибка в коде обработки HTTP-заголовков при обработке подзапросов может привести к утечке информации, фигурирующей в другом запросе при использовании многопоточного MPM-модуля;

Из изменений можно отметить:

  • Устранены ошибки общего плана в модулях: mod_reqtimeout, mod_proxy_ajp, mod_negotiation, mod_proxy_http, mod_ssl, mod_authnz_ldap, mod_filter, mod_mime, mod_proxy, mod_charset_lite, mod_ldap, mod_rewrite, mod_cache, mod_mime;
  • В mod_cache реализован новый механизм блокировок, направленный на защиту бэкенд-сервера от перегрузки в ситуации наводнения запросами;
  • В mod_log_config добавлена поддержка опции "R", позволяющей отразить в логе обработчик каждого запроса;
  • В mod_include появилась возможность контроля удаления заголовков Last-Modified и ETag при использовании фильтра INCLUDES, что позволяет при необходимости организовать кеширование ответов. Исправлено устанавливаемое по умолчанию значение директивы SSIAccessEnable;
  • В mod_authnz_ldap добавлена поддержка директивы AuthLDAPBindAuthoritative позволяющей в случае сбоя подключения к основному LDAP серверу провести аутентификацию на запасном;
  • В mod_proxy и mod_proxy_http добавлена поддержка внешних https-прокси, использующих метод HTTP CONNECT;
  • В mod_disk_cache и mod_mem_cache добавлен код для предотвращения кеширования не до конца выполненных запросов;
  • В mod_rewrite добавлена поддержка определения схемы scgi;
  • В mod_ssl и утилите ab восстановлена совместимость со старыми версиями библиотеки OpenSSL (младше 0.9.7g).