Доступен (http://permalink.gmane.org/gmane.comp.apache.announce/77) релиз http-сервера Apache 2.4.10 (http://httpd.apache.org), в котором  представлено более 70 изменений (http://www.apache.org/dist/httpd/CHANGES_2.4.16), четыре из которых связаны с устранением уязвимостей. Выпуск 2.4.16 сформирован вслед за 2.4.12, версии 2.4.13, 2.4.14 и 2.4.15 были пропущены.

Две из исправленных уязвимостей могут привести к совершению DoS-атаки через инициирование краха процессов httpd при обработке с ErrorDocument 400 локального URL-пути при наличии активного фильтра INCLUDES (CVE-2015-0253), а также при отправке специально оформленного PING-запроса в WebSockets (CVE-2015-0228).  Уязвимость CVE-2015-3183 связна с дефектом разбора заголовка chunk-запросов. Уязвимость CVE-2015-3185 проявляется при использовании  вызова ap_some_auth_required.

Из не связанных с безопасностью изменений отмечается улучшение предлагаемых по умолчанию наборов шифров (SSLCipherSuite и SSLProxyCipherSuite), возможность задания в mod_proxy_scgi альтернативного заголовка ответа через директиву ProxySCGIInternalRedirect, улучшение работы Event MPM, разнообразные улучшения модулей mod_proxy_*, поддержка в
mod_log_config формата "%{UNIT}T" для настройки вывода продолжительности запроса в секундах, миллисекундах и микросекундах ("s", "ms", "us").

URL: http://permalink.gmane.org/gmane.comp.apache.announce/77
Новость: http://www.opennet.dev/opennews/art.shtml?num=42622