Apache httpd 2.4.23, собранный с OpenSSL 1.0.2h и поддержкой http2 для Red Hat Enterprise Linux и CentOS

В репозиторий добавлен Apache httpd 2.4.23 с поддержкой http2 для Red Hat Enterprise Linux и CentOS. Mod_ssl собран статически с OpenSSL 1.0.2h.

Ссылки:

Или же воспользуйтесь нашим репозиторием.

Обращаю ваше внимание на тот факт, что в зависимостях пакета присутствуют apr-util 1.5.0+ и libnghttp, которые я бы рекомендовал взять из репозитория EPEL. Таким образом, для использования Apache HTTPd проще всего подключить репозиторий EPEL:

yum install -y epel-release

В выпуске 2.4.23, в котором представлено 36 изменений, 17 из которых связаны с исправлениями в модуле mod_http2. Выпуски 2.4.21 и 2.4.22 были пропущены, следом за 2.4.20 сразу опубликован релиз 2.4.23.

В новом выпуске устранена уязвимость (CVE-2016-4979), которая позволяет обойти аутентификацию на основе клиентских сертификатов X509. Проблема проявляется только в системах, использующих HTTP/2, и позволяет получить доступ к ресурсам, без предоставления необходимого для аутентификации сертификата. Уязвимы версии httpd c 2.4.18 по 2.4.20 в которых активирован модуль mod_http2.

Из изменений, не связанных с безопасностью и исправлением ошибок, можно отметить реализацию в mod_include конструкции «‹!—#comment текст комментария›» для определения комментариев в файлах SSI, а также добавление новой директивы CGIVar, при помощи которой можно определить правило заполнения переменной окружения REQUEST_URI (original-uri для изначально запрошенного URI и current-uri для текущего URI).

Apache httpd 2.4.23, собранный с OpenSSL 1.0.2h и поддержкой http2 для Red Hat Enterprise Linux и CentOS: 3 комментария

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *