Apache HTTP Server 1.3.33 freigegeben

Wir, die Apache Software Foundation und das Apache HTTP Server Projekt,
freuen uns, die Freigabe der Version 1.3.33 des Apache HTTP Servers
("Apache") bekannt zu geben. Diese Ank¸ndigung f¸hrt die wesentlichen
ƒnderungen von 1.3.33 gegen¸ber 1.3.31 (1.3.32 wurde nicht offiziell
freigegeben) auf. Die Ank¸ndigung ist auch in englischer Sprache sowie
japanischer ‹bersetzung unter


        http://www.apache.org/dist/httpd/Announcement.txt
        http://www.apache.org/dist/httpd/Announcement.txt.ja

   verf¸gbar.

Diese Version des Apache ist vornehmlich ein Bug-Fix- und Sicherheits-
Update. Eine kurze Zusammenfassung der Bug-Fixes ist am Ende des Dokumentes
aufgef¸hrt. Die vollst‰ndige Liste der ƒnderungen ist in der CHANGES-
Datei zu finden. Apache 1.3.33 behebt insbesondere 2 mˆgliche
Sicherheitsl¸cken:


     o CAN-2004-0940 (cve.mitre.org)
       Behebung eines Puffer¸berlaufs durch maskierte Zeichen in einem
       SSI-Befehl.

     o CAN-2004-0492 (cve.mitre.org)
       Abweisen von Antworten eines entfernten Servers, wenn ein
       ung¸ltiger (negativer) Content-Length-Header gesendet wurde.

Wir betrachten den Apache 1.3.33 als die beste verf¸gbare Version des
Apache 1.3 und wir empfehlen Benutzern ‰lterer Versionen, insbesondere
der Familien 1.1.x und 1.2.x, umgehend die Aufr¸stung. F¸r die 1.2.x-
Familie werden keine weiteren Releases mehr erstellt.


   Apache 1.3.33 steht unter folgender Adresse zum Download bereit:

       http://httpd.apache.org/download.cgi

   Dieser Service nutzt das Mirror-Netzwerk, welches unter folgender
   Adresse aufgef¸hrt wird:

       http://www.apache.org/mirrors/

Eine vollst‰ndige Auflistung aller bisherigen ƒnderungen finden Sie in
der Datei CHANGES_1.3.


Seit Apache 1.3.12 enthalten Bin‰rdistributionen alle Apache-Standard-
module als Shared Objects (sofern es von der Plattform unterst¸tzt
wird) sowie den kompletten Quelltext. Die Installation kann auf einfache
Weise mit dem beigef¸gten Installationsskript durchgef¸hrt werden.
Eine vollst‰ndige Erl‰uterung finden Sie in den Dateien README.bindist
und INSTALL.bindist. Beachten Sie bitte, dass die Bin‰rdistributionen
auf freiwilliger Basis angeboten werden und aktuelle Distributionen
nicht immer f¸r spezielle Plattformen verf¸gbar sind.
Win32-Bin‰rdistributionen basieren auf der Microsoft-Installer-
Technologie (.MSI). Obwohl die Entwickler diese Installationsmethode
fortlaufend stabilisieren, sollten Fragen dazu an die Newsgroup
news:comp.infosystems.www.servers.ms-windows gerichtet werden.


Eine ‹bersicht der seit 1.2 eingef¸hrten neuen Features finden Sie unter

   http://httpd.apache.org/docs/new_features_1_3.html

Ganz allgemein bietet der Apache 1.3 wesentliche Verbesserungen gegen¸ber
der Version 1.2, einschliesslich besserer Performance, Zuverl‰ssigkeit
und Unterst¸tzung von mehr Plattformen, darunter Windows NT und 2000 (die
unter die Bezeichnung "Win32" fallen), OS2, Netware und Plattformen mit
TPF-Thread-Unterst¸tzung.


Apache ist der am h‰ufigsten verwendete Webserver des bekannten
Universums. Mehr als die H‰lfte aller Server im Internet laufen mit dem
Apache oder einem seiner Derivate.


WICHTIGER HINWEIS F‹R APACHE-NUTZER: Der Apache 1.3 wurde f¸r
Unix-Systeme entwickelt. Obwohl die Portierungen auf nicht-Unix-
Plattformen (wie zum Beispiel Win32, Netware oder OS2) von akzeptabler
Qualit‰t sind, ist der Apache 1.3 nicht f¸r diese Plattformen optimiert.
Sicherheits-, Stabilit‰ts- und Performanceprobleme zu diesen nicht-Unix-
Portierungen betreffen aufgrund der Unix-Herkunft der Software im
Allgemeinen nicht die Unix-Version.


Der Apache 2.0 wurde durch die Einf¸hrung der Apache Portability Library
und der MPM-Module von Anfang an f¸r mehrere Betriebssysteme konstruiert.
Nutzer von nicht-Unix-Plattformen sind dringend angehalten, aufgrund der
besseren Performance, Stabilit‰t und Sicherheit auf den Apache 2.0 zu
wechseln.


               Wesentliche ƒnderungen des Apache 1.3.33

   Sicherheitsl¸cken

     * CAN-2004-0940 (cve.mitre.org)
       Behebung eines Puffer¸berlaufs durch maskierte Zeichen in einem
       SSI-Befehl.

     * CAN-2004-0492 (cve.mitre.org)
       Antworten eines entfernten Servers werden abgewiesen, wenn ein
       ung¸ltiger (negativer) Content-Length-Header gesendet wurde.

   Neuerungen

    Neue Funktionen, die sich auf bestimmte Plattformen beziehen:

* Win32: Verbesserte Fehlermeldung bei einem miflgl¸ckten Versuch, einen
Piped-Log- oder Rewrite-Map-Prozess zu starten.


    Neue Funktionen f¸r alle Plattformen:

* Neues Kompilierungs-Flag: UCN_OFF_HONOR_PHYSICAL_PORT.
Es bestimmt, wie UseCanonicalName Off den Port ermittelt, wenn der
Client keinen im Host-Header ¸bermittelt hat. Falls zur
Kompilierung angegeben, verwendet UseCanonicalName Off die physische
Portnummer, um den kanonischen Namen zu bilden. Wird das Flag nicht
gesetzt, werden zun‰chst der aktuelle Port und dann der Standardport
f¸r das aktuelle Schema versucht.



Behobene Fehler

    Die folgenden nennenswerten Fehler wurden im Apache 1.3.31 (oder
    fr¸her) gefunden und im Apache 1.3.33 behoben:

     * mod_rewrite: Die Query-String-Behandlung von Proxy-URLs wurde
       korrigiert. PR 14518.

     * mod_rewrite: Korrektur von 0-Bytes-Schreibzugriffen auf zuf‰llige
       Speicherpositionen. PR 31036.

* mod_digest: Korrektur der Nonce-Berechnung (seit 1.3.31), die eine
Re-Authentisierung f¸r jede Verbindung erforderte, wenn der
AuthDigestRealmSeed nicht konfiguriert war. PR 30920.


* Korrektur eines trivialen Fehlers in mod_log_forensic, der bei
Kindprozessen zu Speicherzugriffsverletzungen f¸hrte, wenn bestimmte
ung¸ltige Anfragen an diesen geschickt wurden, w‰hrend die forensische
Protokollierung aktiviert war. PR 29313.


* mod_dav, Frontpage und andere werden nicht mehr gestˆrt. Korrektur
eines Patches in 1.3.31, welches die Lˆschung des Request-Bodies bei
Anfragen verhinderte, die f¸r Keep-Alive vorgesehen waren, jedoch
w‰hrend der Bearbeitung abgebrochen wurden. PR 29237.
--
=======================================================================
Jim Jagielski [|] [EMAIL PROTECTED] [|] http://www.jaguNET.com/
"There 10 types of people: those who read binary and everyone else."



-------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --------------------------------------------------------------------------



Antwort per Email an