В репозиторий добавлен Apache httpd 2.4.56-1 с поддержкой сжатия brotli от Google, mod_http2 2.0.13 для Red Hat Enterprise Linux, Rocky Linux, Alma Linux и CentOS. Mod_ssl собран динамически с OpenSSL 1.1.1t.
Исправлены уязвимости:
- CVE-2023-27522: HTTP response smuggling bug
- CVE-2023-25690: HTTP request smuggling vulnerability
Заметим, что httpd 2.4.54 поддерживает TLS 1.3 при сборке с OpenSSL 1.1.1. Все новые шифры включены и работают. C версии 2.4.54-2 мы собираем OpenSSL+QUIC 1.1.1 отдельно, он устанавливается в /lib64 отдельно с суффиксом .so.81.1.1 и никак не затрагивает системные библиотеки.
Для установки в EL8 нужно включить соответствующий Module stream:
dnf module enable -y httpd:codeit
TLS 1.3 final на сегодня работает в Google Chrome 70+ и Mozilla Firefox 63+.
Для работы с SELinux в rpm включена соответствующая минимальная политика.
Модуль brotli уже включён в базовый RPM. Всё, что нужно — настроить фильтр
AddOutputFilterByType BROTLI_COMPRESS text/html text/plain text/xml text/css text/javascript application/javascript
Hi Alexander,
I did a “yum update httpd” and “dnf update httpd” on my CentOS7 and Rocky8 servers.
On both servers, my httpd changed from 2.4.55 to 2.4.56, which is good.
But the OpenSSL/1.1.1q+quic remains as version 1.1.1q+.
I already did “dnf module enable httpd:codeit” and “yum upgrade openssl111-libs”.
How can I get the OpenSSL to version 1.1.1t, please?
Thanks,
Jonah
Oops, sorry, I just found out by chance.
I had to do “yum update openssl-quic-libs.x86_64” to get latest OpenSSL library.
Thanks,
Jonah
Hi Jonah,
Yes, openssl-quic-libs is the right dependency now.