Представлена новая версия HTTP-сервера lighttpd 1.4.19

March 12, 2008 12:11 | Author: Oleg | написано в рубрике: Новости | 161 views

Спустя полгода с момента выхода прошлого релиза выпущен lighttpd 1.4.19. В новой версии исправлено более 40 ошибок, в том числе устранено три проблемы безопасности:

• Возможность совершения DoS атаки из-за отсутствия средств контроля за переполнением массива файловых дескрипторов;
• Возможность раскрытия служебной информации в mod_cgi (вместо 500 ошибки выдавался исходный текст проблемного скрипта);
• Возможность раскрытия служебной информации в mod_userdir (если в конфигурации явно не определен путь userdir.path, используется значение переменной окружения $HOME.).

Из новшеств можно отметить поддержку заголовка “If-Range:”, добавление новых директив IdleServers и Scoreboard для mod_status, генерацию заголовков etag/last-modified для контента сжимаемого налету. Отдельно следует упомянуть исправление проблемы с php-fcgi, приводящей к краху процесса.

@

(1 votes, average: 4 out of 5)

 Loading ...

Метки: httpd

Комментариев (0) »

Выпущен релиз ModSecurity 2.5.0

February 22, 2008 16:44 | Author: Oleg | написано в рубрике: Новости | 184 views

Выпущена финальная версия Apache модуля ModSecurity 2.5.0, предназначенного для защиты web-приложений от типовых атак злоумышленников.

Наиболее интересные новшества:

• Альтернативный механизм для более быстрого поиска совпадений по спискам, состоящим из большого числа строковых масок. Управление производится через два новых оператора “@pm” и “@pmFromFile”;
• При наличии нескольких правил, использующих одно и тоже преобразуемое значение, отныне результат всех промежуточных преобразований кэшируется в пределах обработки одного запроса, а не повторяется заново для каждого нового правила;
• Включение в состав пакета скрипта rules-updater.pl для автоматического обновления правил блокировки из внешнего репозитория правил для ModSecurity;
• Новые директивы языка формирования правил: skipAfter, SecMarker, ctl:ruleRemoveById (возможность динамического удаления правил), переменная GEO для привязки правил к географической принадлежности посетителя;
• Content Injection - возможность из правил ModSecurity добавлять произвольный текст в отдаваемый HTML контент, например вставить JavaScript;
• Оператор @verifyCC для определения присутствия номеров кредитных карт в трафике;
• Поддержка написания внешних правил на языке Lua. Внешний скрипт задается директивой SecRuleScript;
• Универсальная защита от межсайтового скриптинга, через локальные ссылки в PDF файлах (например, “http://www.example.com/file.pdf#a=javascript:alert(’Alert’)”).

©

(No Ratings Yet)

 Loading ...

Метки: httpd

Комментариев (0) »