Вышел релиз HTTP-сервера Apache 2.4.28, в котором представлено 15 изменений, среди которых устранение уязвимости CVE-2017-9798, о которой сообщалось ранее. Уязвимость проявляется на системах с разрешённым HTTP-методом OPTIONS и позволяет через манипуляции с настройками в файле .htaccess инициировать утечку отрывков памяти, содержащих остаточные данные от обработки текущим процессом запросов от других клиентов системы совместного хостинга. Среди других изменений: налаживание совместимости с LibreSSL в mod_ssl, устранение проблем с добавлением заголовков через директиву ProxyAddHeaders в mod_proxy, возможность динамического обновления протокола в mod_proxy_wstunnel, исправление остановки обработки при записи более 32KB в приостановленный поток mod_http2. Также можно отметить выпуск проекта cowboy 2.0, в рамках которого развивается компактный и быстрый http-сервер, ориентированный на предоставление полноценного HTTP-сетка для проектов на Erlang/OTP и оптимизированного для минимизации задержек и сокращения

Выпуск nginx 1.13.2

28.06.2017 07:53
Доступен новый выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.13.2, в котором реализованы следующие изменения: В модуле ngx_http_headers реализована директива "add_trailer", через которую можно определить дополнительное поле, которое будет добавлено в конец ответа, если код ответа равен 200, 201, 206, 301, 302, 303, 307 или 308; Nginx теперь возвращает код ответа 200 вместо 416, если для пустого файла запрошена передача диапазона, начинающегося с нуля; Решены проблемы со сборкой в окружениях Cygwin и NetBSD, а также при использовании 64-разрядного инструментария MSYS2 / MinGW; Устранён крах рабочего процесса, который мог произойти при использовании SSI с большим числом включений и переменными proxy_pass; Исправлены ошибки в модуле ngx_http_v2.
Компания Google сообщила о решении расширить спектр ситуаций при которых будет выводиться сообщение о небезопасном соединении при обращении к сайтам по HTTP. Помимо уже выставляемой метки небезопасного соединения при заполнение форм ввода пароля и номеров кредитных карт, начиная с октября 2017 года аналогичное предупреждение будет выводиться при заполнении любых форм данных на страницах открытых по HTTP, а также при открытии сайтов по HTTP в режиме инкогнито. По статистике Google предпринятые в Chrome 56 меры привели к сокращению обращений по HTTP к страницам с формами ввода паролей на 23%. В более отдалённом будущем компания Google намерена помечать небезопасными все обращения к сайтам по HTTP.
В рамках проекта HTTPLabs подготовлена реализация интерактивного http-сервера, позволяющего наглядно инспектировать приходящие запросы и на лету генерировать ответы, соответствующие заданным параметрам. В том числе можно по мере поступления запросов править заголовки, коды ответа, задержки и сами ответы. Также можно выводить готовые ответы из ранее подготовленного типового списка. Утилита подготовлена по мотивам интерактивного http-клиента wuzz. Код написан на языке Go и поставляется под лицензией MIT.
Доступен релиз легковесного http-сервера lighttpd 1.4.44. В новой версии: Добавлена поддержка заголовка "Transfer-Encoding: chunked", которые передаётся вместо заголовка Content-length и информируют клиента кусочной передеча ответа. Отправка тела HTTP-ответа начинается до того, как завершена генерация содержимого и пока не известен его размер; В mod_dirlisting добавлена возможность отображения содержимого директории в формате HTML; В mod_proxy добавлена опция для замены содержимого заголовка Host, отправляемого на бэкенд; В mod_proxy добавлена опция proxy.balance = "sticky"; В mod_ssi добавлена поддержка рекурсивного включения; Улучшена переносимость и устранены проблемы со сборкой на некоторых устаревших платформ.
Компания Google сообщила о решении по показу в Google Chrome метки небезопасного соединения для некоторых сайтов, открытых без шифрования по HTTP. В частности, браузер будет предупреждать о проблемах с безопасностью при открытии по HTTP сайтов, передающих пароли или номера кредитных карт. Изменение вступит в силу в выпуске Chrome 56, который запланирован на январь 2017 года. В одном из следующих релизов метка о небезопасности будет выводиться для всех HTTP-сайтов, открытых в режиме "инкогнито". В дальнейшем планируется перейти к выводу предупреждения о небезопасности для всех сайтов, открываемых по HTTP. Индикатор небезопасного HTTP-соединения будет аналогичен индикатору, информирующему о проблемах с HTTPS, за тем исключением, что первое время он не будет выделен красным цветом (цвет будет изменён на красный на одном из последних этапов инициативы). Google отмечает, что более половины страниц, запрашиваемых пользователями настольных сборок Chrome, уже загружаются по HTTPS. Также упоминается
Доступен выпуск http-сервера Caddy 0.9, примечательного поставкой в виде обособленного исполняемого файла без зависимостей (не требует даже libc) и поддержкой автоматической настройки HTTPS (получение сертификатов автоматизировано через сервис Let’s Encrypt). Код проекта написан на языке Go и поставляется под лицензией Apache 2.0. В отличие от http-серверов, ориентированных на производительность или функциональность, Caddy пытается максимально упростить и автоматизировать настройку, обеспечив при этом должный уровень безопасности. Caddy позиционируется как решение для web-разработки и быстрого развёртывания web-сайтов, не требующее для запуска особых технических знаний и предоставляющее возможность обслуживания сайтов дизайнерами, блоггерами и авторами контента, без привлечения администраторов и технического персонала. Сервер поддерживает HTTP/2 и сетевой протокол QUIC (Quick UDP Internet Connections), виртуальные хосты (в том числе TLS SNI), ротацию сессионных TLS-ключей, применяет по умолчанию
Опубликована информация об уязвимости под кодовым названием Httpoxy, которая охватывает достаточно большой пласт http-серверов, но может применяться для ограниченного набора web-приложений. Уязвимость вызвана дублированием назначения переменной окружения HTTP_PROXY, которая может быть выставлена как для определения системных настроек прокси-сервера, так и на основе трансляции переданного клиентом HTTP-заголовка "Proxy:" в соответствии с требованиями RFC 3875. Создание системной переменной окружения HTTP_PROXY является достаточно простым способ для организации работы http-клиентов через прокси. Суть проблемы в том, что существует пласт полагающихся на переменную окружения HTTP_PROXY библиотек, которые могут использоваться в работающих на стороне сервера web-приложениях для обращения к внешним ресурсам, например, для отправки запросов к различным Web API, загрузки файлов или выполнения проверок (проверка наличия введённого URL, обращение к внешним службам аутентификации и т.п.). В случае передачи
Доступен релиз легковесного http-сервера lighttpd 1.4.40, в котором закрыто 157 отчётов об ошибках и представлено несколько улучшений. Одновременно сообщается о переходе проекта с централизованной системы управления версиями Subversion на Git. Основные изменения: Улучшено управление ресурсами: ограничено потребление памяти при обработке больших запросов, в динамических бэкендах реализована поддержка асинхронных двунаправленных потоков и определения разрыва соединения клиентом; Реализован откат на традиционные средства ввода/вывода при отсутствии поддержи mmap и sendfile; Обновлена поддержка lua 5.2, 5.3; memcached; libressl; openssl 1.1.0; Улучшена поддержка cygwin; Расширена поддержка webdav; При запуске "lighttpd -tt" теперь выполняется проверка корректности файла конфигурации; Добавлена опция "-1" при которой lighttpd выполняет один запрос из входного потока и завершает работу (например, можно использовать для запуска из inetd); Добавлена опция "-i" для завершения работы в случае определённого
Доступен релиз HTTP-сервера Apache 2.4.23, в котором представлено 36 изменений, 17 из которых связаны с исправлениями в модуле mod_http2. Выпуски 2.4.21 и 2.4.22 были пропущены, следом за 2.4.20 сразу опубликован релиз 2.4.23. В новом выпуске устранена уязвимость (CVE-2016-4979), которая позволяет обойти аутентификацию на основе клиентских сертификатов X509. Проблема проявляется только в системах, использующих HTTP/2, и позволяет получить доступ к ресурсам, без предоставления необходимого для аутентификации сертификата. Уязвимы версии httpd c 2.4.18 по 2.4.20 в которых активирован модуль mod_http2. Из изменений, не связанных с безопасностью и исправлением ошибок, можно отметить реализацию в mod_include конструкции "‹!--#comment текст комментария›" для определения комментариев в файлах SSI, а также добавление новой директивы CGIVar, при помощи которой можно определить правило заполнения переменной окружения REQUEST_URI (original-uri для изначально запрошенного URI и current-uri для текущего