2015年2月2日月曜日

httpd-2.4.12 Release

httpd-2.4.12がリリースされた。
2.4.11はキャンセルされた。

次の脆弱性が修正されている。

  • CVE-2014-3583 mod_proxy_fcgi
    • レスポンスヘッダのサイズが8Kバイトを超えた場合に、バッファオーバリードによってクラッシュする可能性があった問題を修正
      • バックエンドからのデータの読み込みで、\0終端ではなくデータ長で終了判定をするように修正されている。そういうことでしょう。
    • http://svn.apache.org/viewvc?view=revision&revision=1641551
  • CVE-2014-3581 mod_cache
    • Content-Typeの値が空の場合のクラッシュを回避
      • 下記bugzillaによれば、レスポンスのContent-Typeが空文字列のコンテンツをキャッシュしようとするとsegmentation faultが発生するようだ。
      • そういったレスポンスを生成する環境があるらしいが、悪意のあるサーバが意図的に生成するケースも想定はできる。
    • https://issues.apache.org/bugzilla/show_bug.cgi?id=56924
  • CVE-2014-8109 mod_lua
    • LuaAuthzProviderが複数のRequireディレクティブで異なる引数で使用されている場合のRequire行の処理を修正
      • 下記bugzillaの指定例だけ引用する
        <Directory /var/www/example.com/webroot/dir/ >
          Require LuaAuth 2
        </Directory>
        <Directory /var/www/example.com/webroot/ >
          Require LuaAuth 1
        </Directory>


  • CVE-2013-5704 core
    • HTTPトレーラがリクエスト処理の遅いタイミングでHTTPヘッダを置き換えるため、リクエストヘッダを早いタイミングで検査したり、修正するようなモジュールの処理の無効化や、混乱を引き起こすことが可能。
      旧方式によるリストアを指示するMergeTrailersディレクティブを追加。
      • 例えば、mod_headersでRangeヘッダが大量に指定されている場合にヘッダを削除している場合でも、あとからRangeヘッダを復活させることができたりするようだ。
    • http://svn.apache.org/viewvc?view=revision&revision=1619884
      • httpd-2.2.29で修正済
    • http://martin.swende.se/blog/HTTPChunked.html


その他多数のバグ修正に、機能追加。
以下にannounceからのコピペだけ。

  • Proxy FGI and websockets improvements
  • Proxy capability via handler
  • Finer control over scoping of RewriteRules
  • Unix Domain Socket (UDS) support for mod_proxy backends.
  • Support for larger shared memory sizes for mod_socache_shmcb
  • mod_lua and mod_ssl enhancements
  • Support named groups and backreferences within the LocationMatch, DirectoryMatch, FilesMatch and ProxyMatch directives.


以上