Version 2.4.38 |
|---|
| Apache HTTP Server |
Correctifs de sécurités et corrections de bogues divers.
- Sécurité CVE-2018-17199 : Dans le module mod_session, le mod_session_cookie ne respecte pas le délai d'expiration, ceci permettant de réutiliser les sessions.
- Sécurité CVE-2018-17189 : Dans le module mod_http2, corrige un vecteur d'attaque DoS. En envoyant des corps de requête lents à des ressources ne les consommant pas, le code de nettoyage httpd occupe inutilement un processus léger de serveur. Il a été remplacé par une réinitialisation immédiate du flux, ignorant tout l'état du flux et les données entrantes.
- Sécurité CVE-2019-0190 : Dans le module mod_ssl, correction d'une boucle infinie déclenchée par un client renégociant le TLSv1.2 (ou antérieure) avec OpenSSL 1.1.1 ou plus tard.
- Dans le module mod_ssl, efface l'indicateur de nouvelle tentative avant d'abandonner la renégociation initiée par le client.
- Dans le module mod_negotiation, il considère que la propriété LanguagePriority ne respecte pas la casse pour correspondre au comportement de AddLanguage et à la spécification HTTP.
- Dans le module mod_md, le comportement incorrect lors de la synchronisation des défis ACME en cours a été corrigé.
- Dans le module mod_setenvif, on peut avoir des expressions devenant vraies si un motif d'expression régulière dans l'expression ne correspond pas. Dans ce cas, la valeur est NULL et il devrait simplement définir la valeur de la variable d'environnement comme dans le cas du modèle.
- Dans le module mod_session, il décode toujours les attributs de session trop tôt.
- Dans le coeur d'Apache, des valeurs incorrectes pour les variables d'environnement sont substituées lorsque plusieurs variables d'environnement sont spécifiées dans une directive.
- Dans le module mod_rewrite, crée uniquement le mutex global utilisé par «RewriteMap prg:» lorsque ce type de carte est présent dans la configuration.
- Dans le module mod_dav, correction de l'entête Location non valide lorsqu'une ressource est créée en transmettant un URI absolu sur la ligne de requête.
- Dans le module mod_session_cookie, évite la duplication de l'entête Set-Cookie dans la réponse.
- Dans le module mod_ssl, efface les erreurs SSL avant le chargement des certificats et la vérification ultérieure. Sinon, des erreurs sont signalées lorsque d'autres modules utilisant SSL sont en jeu. C'est le correctif du PR 62880.
- Dans le module mod_ssl, correction du code d'erreur renvoyé dans un chemin d'erreur de la fonction ssl_io_filter_handshake(). C'est une erreur de gestion des erreurs effectuée dans la fonction ssl_io_filter_error().
- Dans le module mod_ssl, correction de la définition $HTTPS pour le cas "SSLEngine optional" et correction du fournisseur authz afin que "Require ssl" fonctionne correctement dans HTTP/2.
- Dans le module mod_proxy, si ProxyPassReverse est utilisé pour la cartographie inverse des redirections relatives, les instructions ProxyPassReverse suivantes, qu'elles soient relatives ou absolues, peuvent échouer.
- Le module mod_lua est maintenant considéré comme un module stable.
Dernière mise à jour : Jeudi, le 24 janvier 2019