Релиз http-сервера Apache 2.4.38 с объявлением стабильным модуля mod_lua

Опубликован релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений и устранены три уязвимости.

Наиболее заметные изменения

  • Устранена уязвимость CVE-2018-17199 в модуле mod_session, позволяющая продолжить обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie);
  • Устранена DoS-уязвимость CVE-2018-17189 в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов;
  • Устранена DoS-уязвимость CVE-2019-0190 в модуле mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 проблеме не подвержена). Проблема проявляется только при сборке с OpenSSL 1.1.1;
  • Модуль mod_lua, позволяющий интегрировать в httpd интерпретатор языка Lua, переведён в число стабильных и теперь может применяться на рабочих серверах (API не будет изменяться);
  • В mod_negotiation обеспечено игнорирования регистра символов при разборе списка языков, заданных в директиве LanguagePriority, в соответствии с поведением AddLanguage и требованиями спецификации HTTP;
  • В mod_session обеспечено декодирование атрибутов сеанса на самой ранней стадии обработки, а в mod_session_cookie реализовано отсеивание дублирующихся заголовков Set-Cookie;
  • В mod_ssl налажено выставление переменной $HTTPS при работе в режиме "SSLEngine optional" и обеспечена корректная работа настройки "Require ssl" при использовании HTTP/2.

Источник: OpenNET