Apache HTTP Server

Продукт
Разработчики: Apache Software Foundation (ASF)
Дата последнего релиза: 2023/01/20

Содержание

2023: Apache HTTP Server 2.4.55

20 января 2023 года стало известно о том, что опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости:

  • CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки).
  • CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.
  • CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка "If:".

Наиболее заметные изменения, не связанные с безопасностью:

  • mod_proxy_http2 переведён на общий с другими прокси-модулями механизм обработки типа содержимого ответов, приходящих от бэкендов.
  • В mod_proxy_hcheck учтено значение таймаута, выставленное для рабочих процессов.
  • В mod_http2 частично переписан код обработки соединений и потоков. Для отслеживания основного соединения и обработки ввода/вывода для запросов и ответов задействована функция pollset из APR (Apache Portable Runtime). Обеспечено удаление начальных и финальных пробелов и табуляций в значениях заголовков ответов и запросов.
  • В mod_proxy_hcheck в hcmethod разрешены запросы HTTP/1.1 с использованием методов GET11, HEAD11 и OPTIONS11. Обеспечена корректная проверка поддержки AJP/CPING.
  • В mod_authn_core добавлена поддержка выражений в AuthName и AuthType.
  • В mod_md добавлена директива MDStoreLocks, предназначенная для блокировки совместного хранилища для обеспечения корректной активации обновлённых сертификатов при одновременном перезапуске нескольких узлов кластера.
  • В mod_heartmonitor разрешено указание директивы "HeartbeatMaxServers 0" для использования файлового хранилища вместо slotmem.
  • В mod_dav добавлена опция DAVlockDiscovery для отключения определения блокировок WebDAV[1].

2012: Apache HTTP Server 2.4

Это первое крупное обновление (2012 года) c 2005 года, когда вышла версия 2.2. Новые особенности Apache улучшают способность сервера к работе в средах с большим трафиком.

Apache — самый популярный веб-сервер: по данным Netcraft, он применяется почти на 400 млн сайтов, или на 65% от общего их количества. Второе место — у Microsoft IIS, 14,5%. Но возможно, главный конкурент Apache — это nginx: его доля меньше 10%, но за последний месяц он получил 12 тыс. новых сайтов, тогда как Apache потерял 18 тыс.Как зародилась масштабная коррупционная схема при внедрении ИТ в ПФР при участии «Техносерва» и «Редсис». Подробности 38.5 т

Многие новые особенности Apache 2.4 повторяют аналогичные, благодаря которым стал популярным nginx. Новый Apache обслуживает больше одновременных соединений и использует меньше памяти. Модуль обратного прокси позволяет использовать один внешний IP-адрес для множества серверов с часто меняющимися внутренними адресами. Таймауты можно задавать с точностью до миллисекунды, ресурсные ограничения тоже контролируются более детально. Улучшен механизм кэширования с расчетом на большие объемы трафика.

Примечания



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (3) СМ. ТАКЖЕ (7)