Apache HTTP Server 2.0.48 freigegeben
Wir, die Apache Software Foundation und das Apache HTTP Server Projekt,
freuen uns, das elfte öffentliche Release des Apache HTTP Servers 2.0
bekannt zu geben. Diese Ankündigung führt die wesentlichen Änderungen
von 2.0.48 gegenüber 2.0.47 auf. Die Ankündigung ist auch in
englischer Sprache unter http://www.apache.org/dist/httpd/Announcement2.txt
verfügbar.
Diese Version des Apache ist vornehmlich ein Bug-Fix-Update. Eine kurze
Zusammenfassung der behobenen Fehler ist am Ende des Dokuments
aufgeführt. Apache 2.0.48 behebt insbesondere 2 Sicherheitslücken.
Bei der Verwendung eines Thread-fähigen MPMs konnte eine falsche
Handhabung von CGI-Redirects in mod_cgid dazu führen, dass CGI-Ausgaben
an den falschen Client ausgeliefert wurden.
[http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0789]
In mod_alias und mod_rewrite konnte ein Pufferüberlauf auftreten, wenn
ein regulärer Ausdrück mit mehr als 9 speichernden Klammernpaaren
angewendet wurde.
[http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0542]
Dieses Release ist zu Modulen kompatibel, die für Apache 2.0.42 und
später kompiliert wurden. Wir betrachten dieses Release als die beste
verfügbare Version des Apache und empfehlen allen Benutzern früherer
Versionen ein Upgrade.
Apache 2.0.48 steht unter
http://httpd.apache.org/download.cgi
zum Download bereit.
Für eine vollständige Liste der Änderungen lesen Sie bitte die Datei
CHANGES_2.0, welche von der obigen Seite aus verlinkt ist.
Apache 2.0 bietet zahlreiche Erweiterungen, Verbesserungen und
Performancesteigerungen gegenüber der 1.3-Codebasis. Eine Übersicht der
seit 1.3 eingeführten Features finden Sie unter
http://httpd.apache.org/docs-2.0/new_features_2_0.html
Wenn Sie diese Version des Apache installieren oder auf diese Version
updaten, beachten Sie bitte folgendes:
Sollten Sie den Apache mit einem der threaded-MPMs verwenden wollen, so
müssen Sie sicherstellen, dass die Module (und die benötigten
Bibliotheken), die Sie verwenden wollen, Thread-sicher sind. Weitere
Informationen erfragen Sie bitte bei den jeweiligen Anbietern dieser
Module.
Wesentliche Änderungen des Apache 2.0.48
Seit Apache 2.0.47 geschlossene Sicherheitslücken
*) SECURITY [CAN-2003-0789]: mod_cgid: Korrektur falscher Handhabungen
des Sockets AF_UNIX, der zur Kommunikation mit dem cgid-Daemaon und
dem CGI-Skript verwendet wird. [Jeff Trawick]
*) SECURITY [CAN-2003-0542]: Behebung von Pufferüberläufen in mod_alias
und mod_rewrite, welche auftraten, falls reguläre Ausdrücke mit mehr
als 9 speichernden Klammernpaaren angewendet wurden. [André Malo]
Seit Apache 2.0.47 behobene Fehler und neue Features
*) mod_include: Korrektur eines Speicherzugriffsfehlers, der auftrat,
wenn der Dateiname nicht angegeben war, z.B. bei der Ausführung
von Fehlerbedingungen.
PR 23836. [Brian Akins <[EMAIL PROTECTED]>, André Malo]
*) Korrektur des Konfigurationsparsers, um <foo>...</foo>-Container
zu unterstützen (ohne Argumente im öffnenten Tag), wie httpd 1.3
sie unterstützt. Ohne diese Änderung wären die <Perl>-Abschnitte
von mod_perl 2.0 ungültig.
["Philippe M. Chiasson" <[EMAIL PROTECTED]>]
*) mod_cgid: Korrektur einer zerstörten Hash-Tabelle, welche dazu
führen konnte, dass am Ende des Request das falsche Skript
aufgeräumt wurde. [Jeff Trawick]
*) Aktualisierung der httpd-*.conf-Dateien zur besseren Erläuterung
der Beziehung von AddType und AddEncoding bei der Definition von
Dateiendungen für komprimierte Dateien. [Roy Fielding]
*) mod_rewrite: Kein stillschweigendes Beenden mehr, wenn das Öffnen
des RewriteLogs fehlschlägt. PR 23416. [André Malo]
*) mod_rewrite: Korrektur der Option [P] in mod_rewrite, um
umgeschriebene Anfragen unter Verwendung von "proxy:" zu senden.
Der Code hatte manipulierten URIs mehrere "proxy:"-Felder
hinzugefügt. PR: 13946. [Eider Oliveira <[EMAIL PROTECTED]>]
*) chache_util: Korrektur von ap_check_cache_freshness um max_age,
smax_age und expires wie in der RFC 2616 definiert zu prüfen.
[Thomas Castelle <[EMAIL PROTECTED]>]
*) Es wird nun sichergestellt, dass die ssl-std.conf während der
Quelltext-Konfiguration generiert wird und es werden jetzt die
erweiterten Konfigurationsvariablen für ein Verhalten wie bei
der httpd-std.conf verwendet. PR: 19611 [Thom May]
*) mod_ssl: Behebung von Speicherzugriffsfehlern nach einer
misslungenen Neuverhandlung (Renegotiation). PR 21370
[Hartmut Keil <[EMAIL PROTECTED]>]
*) mod_autoindex: Enthält ein Verzeichnis eine in der Direktive
DirectoryIndex enthaltene Datei, so wird das Verzeichnissymbol
nicht länger durch das Symbol dieser Datei ersetzt. PR 9587.
[David Shane Holden <[EMAIL PROTECTED]>]
*) Korrektur von mod_usertrack, um keine fälschlich zutreffenden
Übereinstimmungen mit dem Namen des user-tracking-Cookies zu
erhalten. PR 16661. [Manni Wood <[EMAIL PROTECTED]>]
*) mod_cache: Korrektur des Cache-Codes, so dass Antworten
zwischengespeichert werden können, wenn sie einen Expires-Header,
aber keine Etag- oder Last-Modified-Header besitzen. PR 23130.
[EMAIL PROTECTED]
*) mod_log_config: Korrektur des Logformats %b, um tatsächlich "-"
auszugeben, wenn 0 Bytes gesendet wurden (z.B. bei den
Rückgabecodes 304 oder 204). [Astrid Keßler]
*) Modifikation von ap_get_client_block(), um zu vermerken, das EOS
gefunden wurde. [Justin Erenkrantz]
*) Behebung eines Fehlers, bei dem mod_deflate manchmal
vorbehaltslos den Inhalt komprimiert hat, wenn der
Accept-Encoding-Header ausschließlich andere Token als "gzip"
(z.B. "deflate") enthielt. PR 21523. [Joe Orton, André Malo]
*) Vermeidung einer Endlosschleife, welche auftrat, wenn der Name
einer eingebundenen Konfigurationsdatei oder eines Verzeichnisses
ein Platzhalterzeichen enthielt. PR 22194. [André Malo]
*) mod_ssl: Behebung eines Problems beim Setzen von Variablen,
welche die Zertifikatskette des Clients repräsentieren. PR 21371
[Jeff Trawick]
*) Unix: Handhabung der Berechtigungen für flock-basierte Mutexe in
unixd_set_global|proc_mutex_perms(). Erlaube den Aufruf der
Funktionen für jeden Mutex-Typ. PR 20312 [Jeff Trawick]
*) ab: Funktioniert unter Unix wieder für nicht-loopback.
PR 21495. [Jeff Trawick]
*) Korrektur einer irreführenden Meldung von einigen der MPMs mit
Thread-Unterstützung wenn MaxClients auf die Einstellung von
ServerLimit verringert werden muss. [Jeff Trawick]
*) Verringerung des Schweregrades der Nachricht "listener thread
didn't exit" auf debug, da diese nur für Entwickler von Interesse
ist. PR 9011 [Jeff Trawick]
*) MPMs: Das Bucket-Brigade-Subsystem beachtet nun die
MaxMemFree-Einstellung. [Cliff Woolley, Jean-Jacques Clar]
*) Installation von config.nice im Verzeichnis build/, um kleinere
Versionsupdates zu vereinfachen. [Joshua Slive]
*) Korrektur von mod_deflate, so dass es deflate() nicht aufruft,
ohne zuvor zu prüfen, ob es etwas zu komprimieren gibt.
(Gegenwärtig erzeugt mod_deflate gemäß der zlib-Spezifikation
einen schweren Fehler.) PR 22259. [Stas Bekman]
*) mod_ssl: Korrektur von FakeBasicAuth bei Unteranfragen. Melde
einen Fehler, wenn eine unsinnige Identität auftaucht.
[Sander Striker]
*) mod_rewrite: Ignoriere RewriteRules in .htaccess-Dateien, wenn
das Verzeichnis, welches die .htaccess-Datei enthält, ohne
abschließenden Schrägstrich angefordert wurde. PR 20195.
[André Malo]
*) ab: An der Kommandozeile angegebene überlange
Berechtigungsnachweise sprengen nicht mehr den Puffer.
[André Malo]
*) mod_deflate: Versuche nicht die gesamte Antwort bis zum
Schluss zu halten. [Justin Erenkrantz]
*) Sicherstellen, dass beim Einlesen von eingehenden Anfragedaten
über SSL korrekt blockiert wird. PR 19242. [David Deaves
<[EMAIL PROTECTED]>, William Rowe]
*) Aktualisierung der mime.types, um die neuesten IANA- und
W3C-Typen aufzunehmen. [Roy Fielding]
*) mod_ext_filter: Setzen zusätzlicher Umgebungsvariablen für die
Verwendung in externen Filtern. PR 20944. [Andrew Ho, Jeff Trawick]
*) Korrektur von buildconf-Fehlern bei einem Wechsel der libtool-Version.
[Jeff Trawick]
*) Speichern eines authentisierten Benutzers während einer internen
Umleitung, falls das Umleitungsziel nicht zugriffsgeschützt ist,
und Weiterreichen des Benutzers an das Skript mittels der
Umgebungsvariable REDIRECT_REMOTE_USER. PR 10678, 11602.
[André Malo]
*) mod_include: Behebung eines Fehlertrios, das bei der Analyse
verschiedener ungewöhnlicher Bytesequenzen Teile des
Ausgabe-Datenstroms verschwinden ließ. PR 21095. [Ron Park
<[EMAIL PROTECTED]>, André Malo, Cliff Woolley]
*) Verbesserung des Header-Token-Parsers, um LWS zwischen dem Token
und dem Trennzeichen ':' zu erlauben. [PR 16520]
[Kris Verbeeck <[EMAIL PROTECTED]>, Nicel KM
<[EMAIL PROTECTED]>]
*) Erstellung einer temporären Tabelle in ap_get_mime_headers_core()
beseitigt. [Joe Schaefer <[EMAIL PROTECTED]>]
*) FreeBSD-Verzeichnislayout hinzugefügt. PR 21100.
[Sander Holthaus <[EMAIL PROTECTED]>, André Malo]
*) Behebung von NULL-Pointer-Problemen in ab bei der Analyse von
unvollständigen oder nicht-HTTP-Antworten. PR 21085.
[Glenn Nielsen <[EMAIL PROTECTED]>, André Malo]
*) mod_rewrite: Durchführung einer Child-Initialisierung der
Rewritelog-Sperre. Dies verhindert Beschädigungen des
Protokolls wenn flock-basierte Serialisierung verwendet wird
(z.B. bei FreeBSD). [Jeff Trawick]
*) Ignoriere einen von Modulen und CGIs gesetzten Server-Header.
Wie bei 1.3 kommt jeder derartige Header bei Proxy-Anfragen vom
Originalserver, andernfalls enthält er unsere mit der
ServerTokens-Direktive festgelegte Server-Information.
[Jeff Trawick]
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
