https://www.opennet.me/openforum/vsluhforumID3/113935.html Состоялся (http://www.mail-archive.com/announce@httpd.apache.org/msg00107.html) релиз HTTP-сервера Apache 2.4.33 (http://httpd.apache.org/), в котором представлено 55 изменений (http://www.apache.org/dist/httpd/CHANGES_2.4.33), в том числе устранено 7 неопасных уязвимостей (https://httpd.apache.org/security/vulnerabilities_24.html), большинство из которых может привести к краху рабочего процесса при обработке определённых запросов. Выпуски 2.4.30, 2.4.31 и 2.4.32 были отменены, следом за 2.4.29 сразу опубликован релиз 2.4.33.<br><br><br><br>Исправленные уязвимости:<br><br><br>- CVE-2018-1283 - возможность переопределения содержимого передавамой CGI-скрипту переменной окружения "HTTP_SESSION" через отправку HTTP-заголовка "Session" (в скрипт поступают контролируемые пользователем данные из заголовка "Session" вместо данных от mod_session (https://httpd.apache.org/docs/2.4/mod/mod_session.html)). Проблема проявляется только в конфигурациях с включенной опцией "SessionEnv on", которая не активна по умолчанию;<br><br>- CVE-2017-1 https://www.opennet.me/openforum/vsluhforumID3/113935.html#14 Wed, 28 Mar 2018 08:55:35 GMT Ну почему же. Apache удобен для тех, кто раздаёт т.н. Shared-хостинг. Можно дать пользователям .htaccess и они будут им рулить как им нужно. А вот с nginx как сделать, непонятно. Да и если сделаешь, то надо документацию писать, потом её юзерам читать... т.е. клиент реально уйдёт туда, где есть Apache, по которому решений в интернете пруд пруди, а с популярными движками нужный файл уже поставляется и ничего выдумывать не надо.<br>Другое дело, если у тебя свой сайт или несколько на отдельной машине (пусть и виртуальной). Зачем там Apache, когда им рулит ограниченное количество людей, мне тоже не понятно. При большой нагрузке всё равно надо будет nginx снаружи ставить.<br> https://www.opennet.me/openforum/vsluhforumID3/113935.html#13 Tue, 27 Mar 2018 18:40:26 GMT &gt; Имхо конечно, но не вижу смысла использовать Apache-вебсервер на всем более-менее нормальном<br><br>per-directory управление. Причем per request, не требующее явной переконфигурации сервера.<br>Ничего кроме апача (и немного IIS), увы, на это не способно.<br><br>А учитывая модные-современные тенденции, шансов что такое кто-то напишет (причем так, чтобы ловкий юзер не получил сразу же рута на этом сервере, добавив какой-нибудь нолик в середину параметра) не остается.<br><br> https://www.opennet.me/openforum/vsluhforumID3/113935.html#12 Tue, 27 Mar 2018 18:37:14 GMT &gt; Этого больше всего ждал.<br><br>а то ж так дыр не хватало, нужны свеженькие?<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID3/113935.html#11 Tue, 27 Mar 2018 16:01:54 GMT Поддерживаю! <br> https://www.opennet.me/openforum/vsluhforumID3/113935.html#8 Tue, 27 Mar 2018 11:01:44 GMT Имхо конечно, но не вижу смысла использовать Apache-вебсервер на всем более-менее нормальном, не легаси. Жутко не нравится, когда его ставят в зависимости в пакеты, которые и без него отлично могут жить.<br> https://www.opennet.me/openforum/vsluhforumID3/113935.html#7 Tue, 27 Mar 2018 10:38:07 GMT Все утро искал, за что бы выпить. И вот тут очень кстати апачу 19 лет.<br> https://www.opennet.me/openforum/vsluhforumID3/113935.html#6 Tue, 27 Mar 2018 09:59:22 GMT &gt; Неужто ещё остались люди, не покусанные хромом..? :)<br><br>Хронумерацией вы хотели сказать? :)<br> https://www.opennet.me/openforum/vsluhforumID3/113935.html#4 Tue, 27 Mar 2018 07:46:59 GMT &gt; Выпуски 2.4.30, 2.4.31 и 2.4.32 были отменены, следом за <br>&gt; 2.4.29 сразу опубликован релиз 2.4.33.<br><br>Неужто ещё остались люди, не покусанные хромом..? :)<br> https://www.opennet.me/openforum/vsluhforumID3/113935.html#3 Tue, 27 Mar 2018 07:40:55 GMT &gt; В состав добавлен новый экспериментальный модуль mod_md...<br><br>Этого больше всего ждал.<br>