Состоялся релиз HTTP-сервера Apache 2.4.25, в котором представлено 64 изменения, 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сбокой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25.
Из изменений можно отметить:
- Устранено 5 уязвимостей:
- CVE-2016-0736 — mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle). Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash);
- CVE-2016-2161 — крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных;
- CVE-2016-5387 — уязвимость под кодовым названием Httpoxy, позволяющая совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy;
- CVE-2016-8740 — уязвимость в реализации HTTP/2, позволяющая осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;
- CVE-2016-8743 — возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500;
- В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности;
- В mod_socache_memcache обеспечен вывод статистики memcache через mod_status;
- Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230;
- В запросах к прокси добавлена возможность указания незакодированных символов ‘;’ в запросе и заголовке «Location:»;
- Добавлена директива RegisterHttpMethod для регистрации нестандартных методов HTTP;
- В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в memcached;
- В mod_http2 добавлена директива ‘H2EarlyHints’ для включения отправки данных о состоянии в HTTP-ответах с кодом 103;
- В mod_http2 добавлена директива ‘H2PushResource’ для включения ранней отправки ресурсов методом PUSH до начала обработки основного запроса;
- В mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах;
- В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);
- Обеспечен вывод ответа «408 Request Timeout» при при исчерпании таймаута в процессе чтения тела запроса;
- В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через TLS.