Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Software-update: Apache httpd 2.4.38

Het ontwikkelteam van het Apache HTTP Server Project heeft een nieuwe versie van de Apache-webserver uitgegeven met 2.4.38 als versienummer. Deze server is met behulp van modules van allerlei extra functionaliteit te voorzien. Voor meer informatie verwijzen we naar deze pagina. De aankondiging en lijst met veranderingen voor versie 2.4.38 zien er als volgt uit:

Apache httpd 2.4.38 Released

The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 2.4.38 of the Apache HTTP Server ("httpd"). This latest release from the 2.4.x stable branch represents the best available version of Apache HTTP Server.

Changes with Apache 2.4.38
  • SECURITY: CVE-2018-17199 mod_session: mod_session_cookie does not respect expiry time allowing sessions to be reused.
  • SECURITY: CVE-2018-17189 mod_http2: fixes a DoS attack vector. By sending slow request bodies to resources not consuming them, httpd cleanup code occupies a server thread unnecessarily. This was changed to an immediate stream reset which discards all stream state and incoming data.
  • SECURITY: CVE-2019-0190 mod_ssl: Fix infinite loop triggered by a client-initiated renegotiation in TLSv1.2 (or earlier) with OpenSSL 1.1.1 and later. PR 63052.
  • mod_ssl: Clear retry flag before aborting client-initiated renegotiation. PR 63052
  • mod_negotiation: Treat LanguagePriority as case-insensitive to match AddLanguage behavior and HTTP specification. PR 39730
  • mod_md: incorrect behaviour when synchronizing ongoing ACME challenges have been fixed.
  • mod_setenvif: We can have expressions that become true if a regex pattern in the expression does NOT match. In this case val is NULL and we should just set the value for the environment variable like in the pattern case.
  • mod_session: Always decode session attributes early.
  • core: Incorrect values for environment variables are substituted when multiple environment variables are specified in a directive.
  • mod_rewrite: Only create the global mutex used by "RewriteMap prg:" when this type of map is present in the configuration. PR62311.
  • mod_dav: Fix invalid Location header when a resource is created by passing an absolute URI on the request line
  • mod_session_cookie: avoid duplicate Set-Cookie header in the response.
  • mod_ssl: clear *SSL errors before loading certificates and checking afterwards. Otherwise errors are reported when other SSL using modules are in play. Fixes PR 62880.
  • mod_ssl: Fix the error code returned in an error path of 'ssl_io_filter_handshake()'. This messes-up error handling performed in 'ssl_io_filter_error()'
  • mod_ssl: Fix $HTTPS definition for "SSLEngine optional" case, and fix authz provider so "Require ssl" works correctly in HTTP/2. PR 61519, 62654.
  • mod_proxy: If ProxyPassReverse is used for reverse mapping of relative redirects, subsequent ProxyPassReverse statements, whether they are relative or absolute, may fail. PR 60408.
  • mod_lua: Now marked as a stable module
Versienummer 2.4.38
Releasestatus Final
Besturingssystemen Windows 7, Linux, BSD, macOS, Solaris, UNIX, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016
Website Apache Software Foundation
Download http://httpd.apache.org/download.cgi#apache24
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Japke Rosink

Meukposter

Reacties (1)

Wijzig sortering
Veel mis met mod_ssl in 2.4.37. Er zit letterlijk een bug in waarmee je hele servers uit de lucht kan halen met een simpele request. Begrijp niet dat deze niet super high priority status had gekregen. Gooi een site die op 2.4.37 draait even een paar keer door deze test heen https://www.ssllabs.com/ssltest/ en hij is uit de lucht. Alle apache processen staan op 100% cpu te draaien. Gelukkig nu in 2.4.38 opgelost, alleen duurde wel erg lang voor deze in ubuntu repository's terecht kwam.

[Reactie gewijzigd door ro8in op 20 februari 2019 11:18]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True