Добавленно 12th Июль , 2017 в 10:10 ()

Нет комментариев

Представлен релиз HTTP-сервера Apache 2.4.27, в котором представлено 8 изменения, из которых половина связана с решением проблем с нарушением совместимости. В частности, отключена поддержка
HTTP/2 при использовании Prefork MPM, обеспечена совместимость FastCGI c PHP-FPM (возобновлено поведение версии 2.4.20), отключен экспорт недокументированной переменной ‘apr_table’ в mod_lua, улучшена совместимость mod_lua с Lua 5.1, 5.2 и 5.3. Кроме того, увеличена производительность и снижено потребление памяти в mod_http2, возобновлена поддержка полей из одного символа, устранено дублирование метода HEAD в заголовке Allow.

Также доступны новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx — 1.12.1 и 1.13.3, в которых устранена уязвимость CVE-2017-7529. При помощи отправки специально оформленного запроса злоумышленник может вызвать целочисленное переполнение и некорректную обработку диапазонов в range-фильтре. При использовании штатного набора модулей уязвимость потенциально может привести к утечке заголовка файла из кэша, если запрос возвращён из кэша. Заголовок может содержать IP бэкенд-сервера или другую частную информацию. При установке сторонних модулей не исключается вызов отказа в обслуживании или утечка части памяти рабочего процесса. В качестве обходного метода защиты в настройках можно указать «max_ranges 1».

Article source: http://www.opennet.ru/opennews/art.shtml?num=46838

Be the first to start a conversation

Leave a Reply