Доступен корректирующий релиз http-сервера Apache 2.4.3 в котором устранено 2 уязвимости и представлено 56 исправлений.

Первая уязвимость связана с возможностью получения остаточных данных от другого запроса при использовании mod_proxy_ajp и mod_proxy_http. Вторая уязвимость присутствует в mod_negotiation и вызвана отсутствием экранирования спецсимволов при выводе списка имён загруженных в директорию файлов, что можно использовать для организации межсайтового скриптинга (подстановка JavaSript или HTML блоков через имя файла) в условиях включения опции MultiViews и возможности загрузки пользователем произвольных данных в директорию.

Из изменений можно отметить:

• В mod_lua добавлена директива LuaAuthzProvider для создания провайдеров авторизации на языке Lua;
• Упрощена проверка содержимого при передаче POST-запроса с заголовком «Content-Type: application/x-www-form-urlencoded» с целью избежания потерь данных с добавленным указанием кодировки.
• В httpd.conf добавлена возможность установки из директив конфигурации переменной окружения bad_DNT на основании поля User-Agent, а также удаления заголовка DNT при выполнении указанных условий (например, можно удалить DNT для запросов от MSIE 10.0, так как они расходятся со спецификацией DNT);
• В mod_rewrite устранён крах при хранении RewriteMaps правил в базе dbd;
• В mod_ssl добавлена опция SSLCompression для отключения сжатия на уровне TLS;
• В mod_lua добавлены недостающие поля для параметров запроса, параметр remote_ip переименован в client_ip. Для разбора параметров POST-запроса добавлена функция parsebody;
• В mod_setenvif обеспечена компиляции глобальных регулярных выражений на этапе запуска, что позволило уменьшить потребление памяти, особенно при использовании .htaccess;
• При указании в mod_so через опции LoadFile и LoadModule имени файла без пути, если файл не найден в директории сервера, то он будет открыт из системных библиотечных путей, видимых через dlopen();
• В mod_rewrite добавлена опция «AllowAnyURI».