Увидел свет релиз http-сервера Apache 1.3.42 в котором устранена критическая уязвимость в mod_proxy, вызванная возможностью совершения целочисленного переполнения в функции "ap_proxy_send_fb(), сообщает opennet.ru Успешная эксплуатация может позволить злоумышленнику выполнить свой код на сервере, работающем в режиме прокси. Успешное проведение атаки возможно только на 64-разрядных системах, на которых тип данных "long" превышает по размеру тип "int". Разработчики сообщили о том, что Apache 1.3.42 является последним релизом серии 1.3.x, но в случае обнаружения критических уязвимостей патчи в будущем можно будет загрузить на странице www.apache.org/dist/httpd/patches. Пользователям Apache 1.3.x рекомендуется провести переход на версию Apache 2.2.14. Одновременно вышел релиз Apache 2.3.5, имеющий статус альфа-версии. В дальнейшем на базе тестовой ветки Apache 2.3.x будет сформирован стабильный релиз Apache 2.4.0. Из новшеств Apache 2.4 можно отметить:
- Возможность указания значения параметра KeepAliveTimeout в миллисекундах;
- Добавление Simple MPM, написанного с нуля MPM-модуля с поддержкой управления несколькими многопоточными обработчиками. В модуле не используются функции "os/unixd/". Разработчик надеется, что в Apache 2.4.0 данный MPM будет использован по умолчанию для Unix систем;
- Многие MPM могут быть сразу собраны в виде динамически загружаемых модулей, которые можно активировать в конфигурации без последующей пересборки;
- В mod_ssl добавлена поддержка проверки статуса клиентского сертификата на OCSP серверах. Также добавлена возможность совместного использования данных SSL сессии на нескольких http-серверах, через задействование memcached;
- Новый модуль mod_lua, позволяющим интегрировать в httpd интерпретатор языка Lua;
- В состав включен модуль mod_proxy_fcgi, с поддержкой проксирования протокола FastCGI (поддержка схемы "fcgi:" в директиве "ProxyPass");
- В поставку Apache включен скрипт fcgistarter, предназначенный для запуска серверных FastCGI процессов.
Подробности