The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-сервера Apache 2.4.38 с объявлением стабильным модуля mod_lua

23.01.2019 09:21

Опубликован релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений и устранены три уязвимости.

Наиболее заметные изменения:

  • Устранена уязвимость CVE-2018-17199 в модуле mod_session, позволяющая продолжить обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie);
  • Устранена DoS-уязвимость CVE-2018-17189 в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов;
  • Устранена DoS-уязвимость CVE-2019-0190 в модуле mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 проблеме не подвержена). Проблема проявляется только при сборке с OpenSSL 1.1.1;
  • Модуль mod_lua, позволяющий интегрировать в httpd интерпретатор языка Lua, переведён в число стабильных и теперь может применяться на рабочих серверах (API не будет изменяться);
  • В mod_negotiation обеспечено игнорирования регистра символов при разборе списка языков, заданных в директиве LanguagePriority, в соответствии с поведением AddLanguage и требованиями спецификации HTTP;
  • В mod_session обеспечено декодирование атрибутов сеанса на самой ранней стадии обработки, а в mod_session_cookie реализовано отсеивание дублирующихся заголовков Set-Cookie;
  • В mod_ssl налажено выставление переменной $HTTPS при работе в режиме "SSLEngine optional" и обеспечена корректная работа настройки "Require ssl" при использовании HTTP/2.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Уязвимости в Apache httpd и Apache Tomcat
  3. OpenNews: Проблемы в systemd и Apache httpd при обработке DNS-имён с символом подчёркивания
  4. OpenNews: Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости
  5. OpenNews: Релиз http-сервера Apache 2.4.37 с поддержкой TLSv1.3
  6. OpenNews: HTTP поверх протокола QUIC будет стандартизирован как HTTP/3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50010-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:24, 23/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Для чего Lua может пригодиться в вебе? Как поставить на дебу?
     
     
  • 2.3, Аноним (3), 09:47, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Lua может пригодиться везде, главное чтобы с JIT.
    Можно сделать хоть GUI программу, хоть игру, даже веб фреймворк есть. А ещё микроконтроллеры, которые не тянут питон.
     
     
  • 3.7, rshadow (ok), 12:02, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо то как. Жаль сам язык убогий.
     
     
  • 4.10, AnonIM (?), 15:59, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    если не умеешь программировать, то да убогий, а так, широкие возможности от самой простоты
     
  • 4.13, Аноним (13), 19:03, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чем же он убогий?
     
     
  • 5.19, Аноним (19), 08:11, 24/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Массивы с единицы. Этого достаточно, чтобы не использовать это уг.
     
     
  • 6.22, AnonIM (?), 14:48, 24/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    я тебя больше скажу, нету такого понятия в lua как массив, там все это называется ТАБЛИЦА, это в lua и структура, массив, список ...
    УГ язык программирования, это тот что не осилил
     
  • 6.23, YetAnotherOnanym (ok), 15:12, 24/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вычесть единицу - это сложно, да.
     
  • 3.9, Аноним (9), 14:22, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для тех, которые не тянут Питон, есть ещё MicroPython.
     
     
  • 4.11, Анонимчжан (?), 16:35, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а микро микро питон есть? )) а то что это я все на обычном)) да на С++))
     
     
  • 5.12, Аноним (9), 17:58, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Он про микроконтроллеры, на них обычный не взлетит: мало ОЗУ, мало Flash ROM, нет MMU.
     
  • 3.14, ПДК (?), 20:00, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Lua - это альтернатива PHP или чего?
     
     
  • 4.15, annual slayer (?), 20:49, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    инклудов самого конфига апача
     
  • 4.21, Аноним (21), 10:30, 24/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это чтоб расширять возможности apache по обработке запросов: редиректор, перезапись и т.д.
     
  • 2.4, Аноним (4), 10:05, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    хуки, авторизация, фильтры, перенаправления
     
  • 2.5, Andrey Mitrofanov (?), 10:16, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Для чего Lua может пригодиться в вебе?

    Шобъ как в енжиник-се!

    > Как поставить на дебу?

    apt install nginx

     
  • 2.8, Аноним (9), 14:17, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Поприятней Пыха будет.
     
     
  • 3.18, Аноним (18), 21:12, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так то можно и статику через баш пропускать. Только на выходе фигня получается)
     

  • 1.16, annual slayer (?), 20:49, 23/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а в чем его преимущества по сравнению с nginx?
     
     
  • 2.17, Аноним (18), 21:11, 23/01/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    в том что нет зондов от нжинкса.
     
     
  • 3.20, pfg21 (ok), 10:17, 24/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    угу, их там прям так навалом, что ты решил поменять на апачевские зонды :)
     
  • 3.24, annual slayer (?), 21:20, 24/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    пруфов, естесственно, не будет?
     
     
  • 4.26, Аноним (26), 19:01, 03/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так искать надо искать!!!
    ворашите коооооод хакеры
     

  • 1.25, Аноним (26), 18:59, 03/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    НИфига ! а чо хостеры не хотят обновлятся!!!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру