Релиз http-сервера Apache 2.4.55 с устранением уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 11 месяцев
Сообщений: 27286
Опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости:
- CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки).
- CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.
- CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка "If:".
Наиболее заметные изменения, не связанные с безопасностью:
- mod_proxy_http2 переведён на общий с другими прокси-модулями механизм обработки типа содержимого ответов, приходящих от бэкендов.
- В mod_proxy_hcheck учтено значение таймаута, выставленное для рабочих процессов.
- В mod_http2 частично переписан код обработки соединений и потоков. Для отслеживания основного соединения и обработки ввода/вывода для запросов и ответов задействована функция pollset из APR (Apache Portable Runtime). Обеспечено удаление начальных и финальных пробелов и табуляций в значениях заголовков ответов и запросов.
- В mod_proxy_hcheck в hcmethod разрешены запросы HTTP/1.1 с использованием методов GET11, HEAD11 и OPTIONS11. Обеспечена корректная проверка поддержки
AJP/CPING.
- В mod_authn_core добавлена поддержка выражений в AuthName и AuthType.
- В mod_md добавлена директива MDStoreLocks, предназначенная для блокировки совместного хранилища для обеспечения корректной активации обновлённых сертификатов при одновременном перезапуске нескольких узлов кластера.
- В mod_heartmonitor разрешено указание директивы "HeartbeatMaxServers 0" для использования файлового хранилища вместо slotmem.
- В mod_dav добавлена опция DAVlockDiscovery для отключения определения блокировок WebDAV.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.mail-archive.com/a...)
- OpenNews: Выпуск http-сервера Lighttpd 1.4.68
- OpenNews: Релиз http-сервера Apache 2.4.54 с устранением уязвимостей
- OpenNews: Протокол HTTP/3.0 получил статус предложенного стандарта
- OpenNews: Компания Intel развивает протокол HTTPA, дополняющий HTTPS
- OpenNews: Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта
Похожие новости:
- Объединение индейцев добивается переименования проектов Apache
- Выпуск http-сервера Lighttpd 1.4.68
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract
- Уязвимость в HTTP-сервере muhttpd, открываяющая доступ к файлам вне рабочего каталога
- Релиз http-сервера Apache 2.4.54 с устранением уязвимостей
- Выпуск http-сервера Lighttpd 1.4.65
- Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей
- Выпуск http-сервера Lighttpd 1.4.64
- Лидер Apache PLC4X перешёл на модель платного развития функциональности
- Релиз http-сервера Apache 2.4.52 с устранением переполнения буфера в mod_lua
Теги для поиска: #_apache, #_httpd
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 02-Фев 20:46
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 11 месяцев |
|
Опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 02-Фев 20:46
Часовой пояс: UTC + 5